Datatilsynets udmelding om Google Analytics

D. 21. september 2022 fastslog Datatilsynet, at Google Analytics kun kan benyttes lovligt forudsat implementering af en række supplerende foranstaltninger – uden for de indstillinger, Google selv stiller til rådighed.

Det vil sige, at hvis du benytter dig af Google Analytics uden yderligere tiltag, så kan dit website sende persondata til USA. Og det er imod de gældende GDPR-regler i Europa.

Vi arbejder på højtryk for at finde de optimale løsninger. Indtil da vil vi dele vores overblik over udmeldingen, dens konsekvenser og hvad du potentielt kan gøre, hvis du bruger Google Analytics i dag.

Google Analytics og GDPR

Google Analytics er et værktøj, som tracker og rapporterer data fra websites. Den slags data er følsom. Derfor er det helt essentielt, at det behandles korrekt efter de gældende GDPR-regler i Europa – og ikke potentielt havner i “de forkerte hænder”.

I løbet af 2022 afgjorde både det østrigske, det franske og det italienske datatilsyn, at brugen af Google Analytics uden yderligere implementeringer var ulovlig. Dette skyldes, at data overføres til Google LLC i USA, hvilket strider mod de europæiske GDPR-regler.

Den samme konklusion er det danske datatilsyn nu også kommet til.

Kort fortalt betyder det, at organisationer har pligt til at lovliggøre deres brug af Google Analytics igennem supplerende foranstaltninger. Ellers skal de stoppe deres brug af værktøjet.

Med hensyn til Google Analytics 4 fremgår det af Googles dokumentation, at IP-adresser benyttes til at fastslå den besøgendes omtrentlige placering, hvorefter adressen kasseres, inden oplysningerne logges på en server. Samme problemstilling som ved Universal Analytics er derfor også aktuel for Google Analytics 4, da der – afhængigt af den registreredes placering – kan ske opkobling direkte til bl.a. amerikanske servere, inden adressen kasseres

Datatilsynet

Sådan kan du lovliggøre dit brug af Google Analytics

Hvis du ikke stopper med at bruge Google Analytics, kræver det som sagt en eller flere supplerende foranstaltninger, som kan optimere datasikkerheden efter de gældende GDPR-regler.

Datatilsynet foreslår bl.a. pseudonymisering. Igennem opsætning af en reverse proxy eller en 3. parts server vil personfølsomme data blive erstattet af en anonym værdi, hvilket forhindrer Google Analytics i at se den originale værdi.

Datatilsynet henviser til en vejledning til opsætning af en reverse proxy her.

Vi er på sagen

Vi er i fuld gang med at få gjort alting klar til at kunne rådgive i og hjælpe med at lovliggøre din virksomheds Google Analytics. Men det skal være den rigtige løsning. Vi tager datasikkerhed alvorligt. Og vil gerne gøre det rigtigt.

Imidlertid vil vi henvise til datasynets udmelding om Google Analytics-nyheden og deres Q&A om emnet.