Det franske, østrigske og italienske datatilsyn har i 2022 afgjort, at Google Analytics er ulovligt at bruge i Europa i sin nuværende form. Det bakker det danske datatilsyn op om, og det har stor betydning for, hvordan data fremover må håndteres.
Hvad så nu?
Afgørelsen betyder, at persondata ikke må overføres til usikre tredjepartslande, som f.eks. Google i USA, hvor databeskyttelseskravene ikke lever op til europæiske standarder. Google Analytics kan i sin nuværende form derfor ikke anvendes til webstatistik.
Vores udviklingsteams og Google-specialister tester lige nu alternative løsninger, og vi er allerede bekendte med flere gode løsninger, der lever op til datatilsynets krav. Vi holder os løbende opdateret på området, tester nye løsninger og afventer desuden Googles næste træk.
Du er velkommen til at kontakte vores Christian Mücke Laursen, som står klar til at finde den bedste løsning til din virksomhed i samarbejde med dig.
Du kan læse mere om baggrunden for datatilsynets afgørelse herunder.
Hvorfor er Google analytics ulovlig at bruge i Europa?
Datatilsynet i Frankrig, Østrig og Italien modtog løbende i 2022 flere klager om, at personoplysninger om hjemmesidebesøgende blev overført via Google Analytics til Google i USA. Men det var i strid med databeskyttelsesreglerne, hvilket gjorde overførslerne ulovlige - og dermed er værktøjet i sin nuværende form ulovlig at bruge. Dette bakker det danske datatilsyn op om i en pressemeddelelse, hvor de skriver:
Vi har gennemgået mulighederne i Google Analytics nøje og er kommet frem til, at man ikke kan bruge værktøjet i sin nuværende form uden at træffe yderligere foranstaltninger.
Det betyder, at du fremover ikke må indsamle data, som kan bruges til at identificere forbrugerne, da de skal fremgå anonyme i dine webstatistikker. Google Analytics er som værktøj ikke ulovligt at bruge, men der skal foretages en række tekniske foranstaltninger, som forhindrer ulovlig dataindsamling i værktøjet.
Hvad skal du gøre, hvis du bruger Google Analytics?
Datatilsynet gør det klart, at det er ulovligt at bruge Google Analytics uden yderligere foranstaltninger. Det handler nemlig om at forhindre personoplysninger i at blive sendt videre til usikre tredjepartslande, der ikke har samme høje databeskyttelsesregler som i Europa.
Datatilsynet anbefaler, at du kan gøre brug af “Pseudonymisering af data”
Det handler om at opsætte en teknisk mellemstation mellem forbrugerne og Google ved hjælp af reverse proxy (en server som stedfortræder). Det betyder, at forbrugerens oplysninger ikke overføres direkte til tredjepartslandene, som f.eks. Google, men først skal igennem mellemstationen. Her bliver dataene pseudonymiseret inden de sendes videre til analyseværktøjerne.
Den franske datatilsynsmyndighed har udarbejdet en engelsk vejledning om emnet, som du kan læse her.
Hvis du ikke har mulighed for at opsætte tekniske foranstaltninger, som en reverse proxy, så skal du undlade at bruge værktøjerne, som f.eks. Google Analytics. Du bør i stedet finde andre værktøjer, der lever op til datatilsynets krav om korrekt håndtering af data.
Efter EU-kommissionens afgørelse om, at “EU-U.S. Data Privacy Framework” sikrer tilstrækkeligt beskyttelsesniveau i forbindelse med overførsel af personoplysninger fra EU til USA, er der nu en mulighed for at overføre persondata sikkert, under særlige omstændigheder, ifm. brugen af Google Analytics.
Datatilsynet understreger, at de ikke konkret har behandlet Google Analytics ifm. om værktøjet igen er lovligt at bruge, da man stadig – foruden den nye afgørelse – skal overholde en række grundlæggende krav iht. GDPR. Her kan du læse, hvad Datatilsynet skriver om Google Analytics.