Østrig og Frankrig erklærer Google Analytics for ulovligt – hvad betyder det for dig og din virksomhed?
Efter en dom i Østrig er Google Analytics’ metoder nok engang kommet i søgelyset sammen med de andre amerikanske data-ædere. Siden er Frankrig også nået til samme konklusion. Det danske Datatilsyn afventer, mens det norske datatilsyn har været ude og anbefale norske virksomheder at se efter alternativer. Men hvad skal man egentlig gøre som dansk virksomhed for at forberede sig bedst muligt på en mere data-opmærksom fremtid?
Problemet: USA’s regler lever ikke op til GDPR
Hvis personoplysninger skal overføres ud af EU, skal modtagerlandet følge samme regler for beskyttelse af personoplysninger som EU. Dette er ikke tilfældet i USA. Amerikansk lovgivning giver myndighederne beføjelse til at indsamle og kræve data fra amerikanske virksomheder. Google Analytics og Facebook er udbredt i brug og opbevarer data i USA. Derfor giver det mening at klage over disse.
Det betyder, at når det ID som Google Analytics giver dig, som besøgende på et website, sendes til Googles servere, så brydes loven, fordi det ID er personhenførbart og dermed, under amerikansk lovgivning, kan bruges til at genkende og tracke dig.
For eksempel blev et tysk universitet dømt til at fjerne samtykkeløsningen Cookiebot, en tjeneste leveret af det danske firma Cybot. Selvom tjenesten blev leveret af et dansk firma, blev de pålagt at fjerne løsningen. Problemet var, at Cookiebot havde et domæne hos Akamai, et amerikansk firma, og at data dermed blev sendt til amerikanske servere - og derfor kunne misbruges til identifikation og tracking, hvilket ikke er lovlig i EU.
Baggrunden: Privacy Shield-aftalen erklæres ugyldig
Den europæiske generelle databeskyttelsesforordning (GDPR) beskytter brugere i EU mod ulovlig dataindsamling. I loven fremstilles flere forskellige acceptable behandlingsgrundlag. I langt de fleste tilfælde inden for marketing er det relevante af disse behandlingsgrundlag samtykke – især når indsamling af personoplysninger er involveret. Med GDPR bliver det tydeligt, at cookies, IP-adresser og lignende skal defineres som personlige oplysninger.
I sommeren 2020 sker der det, at den daværende aftale mellem USA og EU, kendt som Privacy Shield, bliver erklæret ugyldig i henhold til GDPR-reglerne. Max Schrems, som sætter gang i denne proces, beskriver dommen således:
This is a very detailed and sound decision. The bottom line is: Companies can't use US cloud services in Europe anymore. It has now been 1.5 years since the Court of Justice confirmed this a second time, so it is more than time that the law is also enforced.
Dette påvirker overførslen af data fra EU til USA. Så for at imødekomme dette ændrede mange virksomheder deres kontrakter og strammede især op ift. databehandling.
Efter denne dom udsendte NOYB 101 overførselsklager fra EU/USA til forskellige databeskyttelsesmyndigheder rundt i Europa. Det er især hjemmesider, der har installeret Google Analytics og Facebook-pixel, der blev klaget over - og det har langt de fleste altså efterhånden.
Det er disse klager, som nu har resulteret i at både Østrig og Frankrigs datatilsyn har vurderet at brugen af Google Analytics ikke lever op til GDPRs krav.
Hvad bør du gøre?
Først og fremmest er det nødvendigt at forstå problemet, hvorfor problemet er til stede, og hvorfor EU søger at løse problemet, som de gør. Intet er perfekt, og lovgivning rammer sjældent plet første gang. Men pointen er, at EU har dine rettigheder som bruger af internettet for øje. Det er altså et forsøg på at regulere et marked, som er stukket helt af og har været grundlæggende ureguleret i mange år.
Dit fokus bør være på at indsamle data korrekt og kun bruge data, som du har tilladelse til at bruge - ikke på at prøve at omgå lovgivningen ved blot at holde op med at bruge cookies. Cookies er i fokus nu, fordi det er det primære værktøj til indsamling og (mis)brug af persondata.
På den længere bane er det nødvendigt for dig at begynde at kigge på din permission-struktur - på tværs af alle dine marketing-kanaler. Med permission mener vi hvilke data du har fået lov til at behandle, hvilke du ikke har, og hvordan dette muligvis ændrer sig over tid. Her skal der skabes sammenhæng mellem det, du må, og det du faktisk gør med de personhenførbare data, du indsamler. Det handler om at have forståelse for, hvorledes du gemmer, opbevarer, videresender, sletter og bruger data i dit marketing-økosystem. Dette skal nemlig være transparent for alle - ikke kun for jer selv. Og det er ikke godt nok at der sidder en udvikler, som synes, der er styr på tingene, der skal være klarhed for alle involverede parter, så denne information kan videregives til forbrugeren.
Hvis du bruger Google Analytics, er det vigtigt at tjekke, at der ikke er noget galt med din nuværende implementering. Sørg for, at der er styr på, hvordan data indsamles og bruges, så I ikke lader åbenlyse fejl og mangler være, f.eks. at I indsamler data, selvom folk har fravalgt det. Få jeres partner på området til at lave en gennemgang af jeres setup. Og følg Google Analytics' punkter for "Privatliv og datasikkerhed".
Du kan også overveje at bruge Google Tag Manager på serversiden (eller et andet Tag Management system). Det løser ikke i sig selv problemet, men det giver dig en højere grad af kontrol over de data, der indsamles, så du kan lave processer, der reelt respekterer folks privatliv, såsom reglerne foreskriver. Dine privatlivsrettigheder er generelt ikke de amerikanske tech-firmaers topprioritet. Det er noget, du som virksomhed selv bliver nødt til at tage ansvar for.
Afhængigt af dit ambitionsniveau kan det være nødvendigt med implementering af nye værktøjer som Tag Management eller en CDP (Customer Data Platform), som kan hjælpe med at kontrollere permission og datadeling centralt.
Uanset om du bruger Google Analytics eller andre amerikanske tjenester, der arbejder med personhenførbare data, skal du være sikker på, at der er gennemført en DPIA (Data Protection Impact Assessment), og at der er implementeret tiltag som følge af risikobaserede vurderinger for al dataindsamling.
Forvent flere ændringer - Adapt don’t hack!
Denne sag er langt fra slut med afgørelserne i Østrig og Frankrig. Tværtimod er det sandsynligvis kun starten, og vi anbefaler derfor ikke at træffe forhastede valg, før flere fakta foreligger. Vi skal alle forvente at det digitale landskab og reguleringen af dette kommer til at ændre sig markant over de næste mange år. Det betyder, at vi skal indstille os på, at alle initiativer vi igangsætter kan tilpasses, så de kan imødekomme mulige ændringer. Vi skal ikke prøve at finde smutveje for at kunne gøre alt det, som vi tidligere har kunnet - vi plejer at bruge mottoet “Adapt, don’t hack”.
Har du brug for hjælp til at sikre din infrastruktur, og processer der kan håndtere de stigende krav til dataindsamling, -deling, -opbevaring mv., kan du altid tage fat i os. Vi har eksperter og erfaring, som vi gerne bruger til at hjælpe dig videre. Tag fat i min kollega Mikkel Olesen på mikkel.olesen@knowit.dk, så giver han nok en kop kaffe.
Hvis du bare gerne løbende vil opdateres, så skriv dig op til nyhedsbreve fra Knowit Experience: