Datatilsynet har nå varslet at de planlegger å fatte en beslutning om at Google Analytics skal “forbys”. De har imidlertid kun vurdert Universal Analytics og ikke Google Analytics 4 – og de sier i sitt svar (se lenger ned) at det uansett ikke er snakk om noe direkte forbud.
Vi har hatt en direkte e-postdialog med Datatilsynet om saken. Under gjengis først vårt brev, og så svaret:
Til Datatilsynet fra Nina Furu, fredag 3. mars:
————–
Svar fra Datatilsynet til Nina Furu samme dag (gjengitt med tillatelse):
Hei, Nina!
Vi noterer oss innspillene dine (og jeg har også snakket med Blindheim).
Samtidig ser jeg at det er mange misforståelser der ute om
· hva Datatilsynet faktisk har sagt og gjort (vi har så langt bare behandlet en enkeltstående klagesak om GA 3 som vi hadde plikt til å behandle – vi har ennå ikke kommet med noen generelle veiledere; i nettmeldingen vår sier vi tvert imot at vi kommer tilbake med mer info senere om hvilke forventinger vi har – vi har heller ikke sagt at man bare kan bytte over til et hvilket som helst annet verktøy; poenget er at man heller må vurdere grundigere hvilke verktøy man bruker)
· hvilken rettslig problemstilling vi har sett på (i den konkrete klagesaken har vi bare sett på mulig overføring av personopplysninger til USA, som er en veldig begrenset problemstilling – det finnes faktisk ganske mange analyseverktøy der dette ikke er en utfordring)
· hva vi kommer til å gjøre (vi kommer ikke til å totalforby Google Analytics (særlig med henvisning til proxy-løsningen som vi selvsagt er kjent med) – selv om overskrifter og forståsegpåere fremstiller det som om det er det vi har gjort – og at webanalyse nå blir «ulovlig» er rett og slett ikke treffende)
Jeg opplever rett og slett at diskusjonen har fått egne bein å gå på, og da er det heller ikke rart at det kommer reaksjoner, men jeg synes dette er i ferd med å bli lite konstruktivt.
Google Analytics er trolig ulovlig fordi det trolig overfører personopplysninger til USA. Da kan man velge et europeisk analyseverktøy uten overføringer til tredjeland i stedet. Det er et godt poeng at de fleste analyseverktøy behandler personopplysninger, og da er det grenser man må holde seg innenfor, men det er ikke det samme som at enhver behandling av personopplysninger i kontekst av webanalyse er ulovlig.
—————-
Med utgangspunkt i dette har jeg invitert Datatilsynet til å delta i min livesending kommende fredag (10. mars) sammen med Blindheim og meg selv for å oppklare disse utbredte misforståelsene. De har imidlertid valgt å avslå dette, under henvisning til begrensede ressurser.
Vi sendte deretter denne oppfølgende eposten:
————-
Hei, igjen.
Selv om Datatilsynet ikke vil delta, så diskuterer vi imidlertid dette uansett. For å være med på sendingen kan du gå inn på Webgruppens Facebook-side klokken 10. fredag.
————
Under følger min opprinnelige artikkel fra 31. mars 2022 om denne saken:
Er Google Analytics forbudt?
Det korte svaret på dette er nei, ikke hvis du gjør det riktig. Google Analytics samler inn data på en måte som ikke automatisk er i henhold til GDPR, men du kan gjøre grep med oppsettet som avhjelper dette (bl.a. ved å anonymisere IP-adresser). Du må også generelt overholde GDPR-krav, og saken har dessuten en politisk dimensjon.
Både det oppsettsmessige, det tekniske og den politiske siden av saken må løses. Hvis disse er løst, kan du bruke Google Analytics, spesielt den kommende versjonen GA4. Vi må imidlertid også nevne at Google Analytics KAN bli forbudt i Norge også, etter at det ble det i Danmark i september i år.
Vi skal se på hver av de faktorene som må løses for fortsatt å bruke Google Analytics:
1. Oppsettet
2. Google Analytics 4
Google Analytics har de siste månedene holdt på med å rulle ut en helt en ny versjon, som heter Google Analytics 4 (GA4). Denne erstatter den eksisterende versjonen Universal Analytics (UA), som har vært i bruk i mange år. GA4 tar bedre hensyn til personvern i utgangspunktet, og bruker også syntetiske data (kunstig intelligens) til å kompensere for de datapunktene som det ikke lenger er lovlig å samle inn.
Universal Analytics vil slutte å samle inn data 1. juli 2023. Innen dette må du altså ha lagt over til GA4. Vi anbefaler dessuten at du starter med dette så snart som mulig, slik at du er helt oppe og stå på GA4 før UA slukkes ned. (De historiske dataene vil fortsatt ligge i din konto, så du fortsetter å ha tilgang til disse. GA4 opprettes som et eget område på samme konto som din eksisterende UA, så de to vil eksistere parallelt.)
Google sier selv at med GA4 kan du bruke Analytics på en GDPR-compliant måte, gitt at du altså selv har gjort det relevante arbeidet – ref. punkt 1.
3. Politiske faktorer
Et annet problem har vært at de fleste store, internasjonale verktøy vi som digitale markedsførere bruker er eid av amerikanske selskaper. Dette gjelder både Google Analytics, Gmail, Microsoft 360, Mailchimp, Hubspot, Kajabi og tusenvis av andre små og store plattformer.
Dette er et problem, fordi amerikanske myndigheter har rett til å kreve utlevering av data fra alle amerikanske selskaper. Dette betyr da at når ditt firma bruker disse plattformene, så kan i teorien også data om dine brukere bli utlevert – noe som er et brudd på dine kunders datasikkerhet, og et alvorlig overtramp av deg som behandlingsansvarlig. Dette gjelder selv om serverne som dine brukeres data ligger på befinner seg innenfor EU, så lenge selve selskapet er amerikansk.
Google informerer forøvrig om at de i alle sine driftsår aldri har fått anmodning fra amerikanske myndigheter om slike data, men dette spiller liten rolle så lenge muligheten teoretisk sett er der.
Tidligere fantes det en samarbeidsavtale som het “Privacy Shield” mellom EU og USA som de viktigste store software-leverandørene hadde signert. Denne avtalen gjorde at europeiske brukerdata var unntatt slik utlevering etter gitte vilkår. I den såkalte Schrems II-dommen så ble imidlertid denne avtalen underkjent.
En ny avtale til erstatning for Privacy Shield, det såkalte “Trans-Atlantic Data Privacy Framework” som er del av Digital Markets Act, ble signert 24. mars 2022. Personvernaktivisten Max Schrems har imidlertid allerede varslet at han kommer til å ta ut rettssaker som tvinger EU-landene til å prøve også denne avtalen rettslig. Vi kan derfor antakelig også vente oss en Schrems III-dom. Men inntil slike saker kommer for retten, er de politiske faktorene i hvert fall midlertidig løst.
Konklusjon
Webgruppens ansatte er ikke jurister, og det å lese en artikkel som dette må ikke forstås som juridisk rådgivning. Vi anbefaler å søke juridisk bistand om du er i tvil.
Når det er sagt: Så vidt vi kan forstå, må konklusjonen være at etter 24. mars 2022 er det lov å bruke Google Analytics inntil videre, gitt at du oppfyller GDPR-krav og kravene til oppsett av din Google Analytics. Inntil en eventuell dom i Norge forandrer disse vilkårene.
… og vi i Webgruppen fortsetter selvfølgelig med å holde kurs i Google Analytics.