Datatilsynet har erklæret Google Analytics ulovligt. Du har formentlig allerede hørt det. Og måske har det også givet anledning til sved på panden. For hvad gør du så? Vi giver dig et overblik over, hvad du kan gøre.
Spørgsmålene står i kø: Hvad, hvordan, hvorfor. Spekulationerne er mange, og det kan være vanskeligt at gennemskue, hvordan du skal forholde dig til nyheden. Derfor har vi samlet et overblik, der giver dig en bedre forståelse af, hvad du kan gøre.
Det hele starter med en databehandleraftale. En databehandleraftale er det, der skal sørge for, at dine samarbejdspartnere behandler data ordentligt. Det kan eksempelvis være, når du overfører data til HubSpot, Facebook eller LinkedIn. I sådanne tilfælde har databehandleraftalen til formål at sikre, at den data, du overfører til en tredjepart, bliver behandlet efter lovens regler.
Datatilsynet undersøgte for nyligt Google Analytics efter i sømmene. Og de kom frem til den konklusion, at Google Analytics er ulovligt at bruge. Det skyldes, at du sender persondata til værktøjet og derfor skal have en databehandleraftale, og det kan du ikke have, fordi Google Analytics er amerikansk ejet.
Eftersom Google Analytics er amerikansk ejet har den amerikanske efterretningstjeneste i princippet adgang til alt den data, der overføres hertil. EU opfatter på den baggrund USA som et usikkert 3.land, som man under GDPR ikke må overføre personoplysninger til. Det var den kortere version, nedenfor giver vi dig en mere dybdegående gennemgang.
Dét kan i sig selv være et kompliceret spørgsmål at svare på. Mange ting er stadig meget uvist og i sit tidlige stadie, som gør det noget nær umuligt at spå om fremtiden.
Her i blogindlægget giver vi dig et indblik i vejen til den nylige dom over Google Analytics med en tidslinje, som (forhåbentligt) simplificere det ellers omfattende spørgsmål.
2013: Safe Harbour ordning bliver ugyldig
I 2013 klager Max Schrems til det Irske datatilsyn fordi, Facebook i Irland overførte hans personoplysninger til Facebook i USA. Den overførsel baserede Facebook på den daværende Safe Harbour ordning, som EU-kommissionen havde opsat, så det var lovligt at overføre data mellem lande. Men på baggrund af sagen dømmer EU-domstolen Safe Harbour ordningen ugyldig (kilde).
2016: EU-kommissionen indfører Privacy Shield
Privacy Shield havde overordnet samme formål som Safe Harbour ordningen, men med forbedringer og justeringer. Virksomheder, som havde tilsluttet sig Privacy Shield, måtte man lovligt overføre data til (kilde).
Maj 2018: Indførelse af GDPR og krav til databehandleraftale
I 2018 indfører EU en ny lovgivning under navnet General Data Protection Regulation (GDPR). Ifølge Datatilsynet har GDPR-reglerne følgende formål:
“Reglerne i GDPR er lavet for at beskytte europæiske borgeres privatliv. Det betyder blandt andet, at man skal kunne besøge en hjemmeside, uden at ens oplysninger kan ende i de forkerte hænder.” (kilde)
Den nye lovgivning betyder, at det fremover er et krav, at alle virksomheder indgår en databehandleraftale med sine tech leverandører, som dokumenterer, at personoplysninger behandles efter reglerne. Og dette var på daværende tidspunkt muligt at indgå med amerikanske virksomheder, fordi de havde Privacy Shield.
Du kan læse meget mere om GDPR-reglerne hos Dansk Erhverv her.
De nye og omfattende GDPR-regler skulle vise sig at blive startskuddet til mange forandringer. Heriblandt den seneste dom over Google Analytics.
Juli 2020: Privacy Shield (USA) dømmes ugyldig
I juli 2020 konkluderer EU-domstolen, at der fremover ikke må ske overførsel af personoplysninger til USA via Privacy Shield ordningen. Det skyldes, at Privacy Shield ikke er i stand til at beskytte personfølsomme data fra den amerikanske regering. Og derfor kan man i praksis ikke lave en lovlig databehandleraftale med en amerikansk virksomhed.
Det betyder, at alle amerikanske virksomheder, som flytter persondata over landegrænser, fra fx Danmark til USA, faktisk er ulovlige allerede fra 2020. Det involverer i princippet også platforme som Facebook, Google Ads, HubSpot, YouTube, Sales Force, Microsoft power BI og mange flere (kilde). Og det er i sig selv omfattende og potentielt meget kritisk.
September 2022: Datatilsynet dømmer Google Analytics ulovligt
Datatilsynet kigger Google Analytics efter i sømmene og konkluderer, at værktøjet er ulovligt, fordi det sender persondata til en amerikansk virksomhed. Det kræver en databehandleraftale at flytte data, som ikke længere kan laves med en amerikansk virksomhed, fordi Privacy Shield er ugyldig. Ved et nærmere eftersyn af Google Analytics vurderes det derfor, at værktøjet ikke lever op til de europæiske GDPR-regler. Det betyder samtidig, at Google Analytics faktisk har været ulovlig siden juli 2020, hvor Privacy Shield blev dømt ugyldigt.
Værktøjet sender oplysninger til servere i USA, som ifølge en afgørelse tilbage i 2020 ikke er et sikkert land. Begrundelsen findes i det faktum, at FBI i princippet kan reidentificere en person via den data, man kan finde i Google Analytics. Det kan man fx med:
Alle disse informationer er eksempler på, hvordan data fra Google Analytics kan bruges til reidentificere en person.
For at bruge værktøjet lovligt, skal man sikre, at det er umuligt at reidentificere en person via data. Det vil kræve implementering af en række supplerende foranstaltninger ud over de indstillinger, Google stiller til rådighed (kilde). Og det vil i sidste ende betyde, at den data, du formentlig er mest interesseret i gennem Google Analytics ikke længere er mulig at tilgå.
Oktober 2022: USA laver nyt forslag til Privacy Shield
USA har udstedt et dekret, hvor de præsenterer en ny og mere sikker udgave af deres Privacy Shield i håb om, at EU godkender den. Hvis EU godkender den, vil den nye aftale betyde, at USA ikke længere er klassificeret som et usikkert 3. land, og at man igen kan lave databehandleraftaler med amerikanske virksomheder. Derfor kan persondata fremover godt opbevares på servere i USA. Men igen: Det kræver, at aftalen godkendes af EU.
Oktober 2022 - Marts 2023: EU analyserer det nye Privacy Shield
Det er endnu svært at sige, hvad der kommer til at ske. Det forventes, at EU inden for det næste halve år analyserer det nye Privacy Shield i dybden, og først derefter ved vi, hvad det har af betydning for brugen af værktøjer, der opbevarer data i USA.
Marts 2023 - Ultimo 2023: Schrems III retsag
Selvom EU skulle ende med at godkende det nye Privacy Shield, forventes det, at vi skal gennem en retssag, hvor domstolen skal vurdere, om den er sikker nok (kilde).
Ultimo 2023: Afgørelsens time (måske)
Ved udgangen af 2023 er vi måske klogere - måske ikke. Det er svært at sige, hvad afgørelsen bliver, men alt tyder på, at vi har en afgørelse ultimo 2023. Om Google Analytics forbliver ulovligt, eller der kommer en løsning, hvorpå det igen bliver lovligt, kan kun tiden vise.
Dét er det store spørgsmål, du helt sikkert sidder tilbage med nu. Og det er der mange, der gør, fordi forvirringen er total.
Som situationen ser ud i øjeblikket har du i grove træk tre muligheder, og hvilken du vælger lader vi være op til dig:
Matomo blev lanceret i 2007 og er en kraftfuld platform med beskyttelse af persondata, som giver 100 % dataejerskab. I dag bruges værktøjet af over 1 million brugere i over 190 lande.
På Matomos hjemmeside kan du læse, hvordan Matomo kan sammenlignes med Google Analytics. Et abonnement på Matomo koster fra 145 kr./md alt afhængig af din traffik. Hvis du allerede nu er interesseret i Matomo, er det muligt at prøvekøre værktøjet her.
Hos MCB sidder vores specialister også klar til at hjælpe dig med at komme i gang med Matomo Analytics.