Datatilsynet følger nu i strømmen fra andre tilsynsmyndigheder og erklærer brugen af Google Analytics så godt som ulovlig i forhold til overholdelse af GDPR. Det har vakt røre den seneste uges tid, og det kan være svært at finde ud af, hvad man skal gøre, herunder hvilke muligheder der er for at fortsætte med GA, hvordan problemet skal gribes an, hvilke alternativer der findes til GA m.m. Spørgsmålene er mange.
_______________________________________
“Organisationer i Danmark, der benytter Google Analytics, skal derfor vurdere, om deres eventuelle fortsatte brug af værktøjet sker inden for rammerne af databeskyttelsesreglerne. Hvis det ikke er tilfældet, har organisationen pligt til enten at lovliggøre sin brug af værktøjet eller om nødvendigt ophøre med at benytte værktøjet.”
Citat fra Datatilsynets hjemmeside
_______________________________________
Unitas præsenterer her nogle svar i en maggiterning, som kan bringe dig og din organisation videre i den beslutningsproces, I nu er havnet i.
Det skal indledningsvist siges, at Unitas ikke er marketingspecialister. Konkrete spørgsmål til alternative værktøjer, opsætninger m.v. kan derfor ikke besvares af os. Vi henviser til jeres samarbejdspartnere på det område.
Hvilke muligheder har jeg?
Du skal videre med din markedsføring. Så hvilke muligheder er der?
Overordnet set har du 4 (5) muligheder:
- Helt overordnet skal I vurdere værdien af de data, I får indsamlet – måske det er en åben mulighed for at gentænke jeres marketingstrategi eller som minimum vurdere, om alle de data, I får ind fra GA, reelt er nødvendige. I skal undgå såkaldt vanity metrics.
- Ignorer Datatilsynet og løb risikoen – du kan selv regne på, hvor dyrt det kan blive.
- Modificer opsætningen af GA – reducér evt. hvilke data du samler ind, og hvordan du bruger dem eller fx implementér en ‘reverse proxy’ løsning foran dit site
- Skift til et alternativ
- Vent, og se om den ny Privacy Shield løser problemet lige om lidt
Alle punkterne uddybes nedenfor
Ad 1) Værdien af de indsamlede data: Du vil gerne vide, om du foretager et salg i din webshop. Men du behøver måske ikke vide, at den der køber hedder Mogens, bor i Brønderslev og desuden besøgte eb.dk, før han endte på lige netop jeres site. Indsaml kun de strengt nødvendige data og ikke ‘nice to know’, hvis du ikke anvender dem helt konkret til fx mersalg.
Ad 2) Det er på ingen måde en anbefaling fra Unitas. Men du kan jo vælge at ignorere Datatilsynet, beregne din risiko og håbe på, at du ikke bliver taget i at køre over for rødt. Det er typisk et ret stort beløb, som man skal indregne i en sådan risiko, og kræver normalt, at ledelsen tager en overordnet forretningsrisikovurdering.
Ad 3) Her tages udgangspunkt i, at du benytter GA 4.0, der tillader ændring af opsætning. Er du fortsat på den gamle GA Universal platform (udgår i 2023), kan du ikke foretage tilstrækkelige ændringer af opsætningen.
Du kan tilpasse, hvad der opsamles af data, således du indsamler et minimum. Du kan komme ned på et niveau, der sikrer, at du arbejder inden for rammerne af GDPR. Men er det så nok data til, at de er noget værd for dig og din virksomhed?
Du kan evt. implementere en ‘reverse proxy’ løsning, der maskerer data tilstrækkeligt til, at de er at opfatte som ikke personhenførbare data. Hvis I selv allerede har en reverse proxy, eller jeres udbyder har et godt tilbud om denne løsning, er det også en mulighed. I et eksempel fra en af de refererede artikler ligger omkostningen for egen reverse proxy på ca. 30-40.000 i implementering og dernæst 2-3.000/md i drift. Som en cloud-løsning kan fx Cloudflare tilbyde en reverse proxy, men også mange andre af de store cloud-udbydere har en sådan service. Her skal du dog også være opmærksom på GDPR-efterlevelse. Vi skal ikke erstatte et problem med et andet.
Ovenstående fremstilling er fra det franske datatilsyns hjemmeside.
Ad 4) Der er mange alternativer til GA. Vurder selv eller sammen med jeres samarbejdspartner på området, hvilke alternativer der kan være det rette valg for jer. Se længere nede i indlægget under ‘Ressourcer/Liste over alternativer til Google Analytics’.
Ad 5) Der er en ny Privacy Shield lige på trapperne. Hvis den ender med at blive godkendt af EU (kan tage mere end 6 måneder), forsvinder problemet generelt med overførsler til USA. Problemet med at overføre til andre tredjelande end USA eller videreoverførsler fra USA består dog fortsat. Uanset om det nye overførelsesgrundlag bliver godkendt eller ej, vil der med garanti komme ny modstand fra NOYB (organisationen ført an af Max Schrems – hvilket kan medføre nye udfordringer. Så uanset udfald, bør I have en plan B klar.
Ressourcer
Podcast
Særligt for markedsføringsansvarlig i jeres virksomhed, lyt evt. til denne podcast: Privacy League Danmark – Bruger du Analytics, så lyt med her. Gode råd både fra marketing og GDPR siden
Liste over alternativer til Google Analytics
- Refereret som værende godt til B2B – Dreamdata – baseret i Danmark og bruger servere inden for EU
- Matomo hvis du har mange rapporter konfigureret i G.A. kan importeres umiddelbart og er også refereret som et godt alternativ
- Hotjar – Baseret på Malta og bruger servere i Irland
- Mouseflow – baseret i Danmark og bruger servere inden for EU og i USA (afhængig af kundes lokation)
- Refereret som værende godt til B2C – Piwik Pro – baseret i Polen og bruger servere i EU, USA og flere steder
- Simple Analytics – baseret i Holland og bruger servere i Europa
- Smartlook – baseret i Tjekkiet og bruger servere indenfor EU
- Splitbee – baseret i Østrig og bruger servere indenfor EU
- Visitor Analytics – baseret i Tyskland og bruger servere i EU
- Wide Angle Analytics – baseret i Tyskland og bruger servere i Tyskland eller Frankrig
Artikler anvendt til dette blog-indlæg (nogle kræver abonnement)
Datatilsynet slår fast at Google Analytics er ulovlig
Google Analytics ulovligt: Sådan kan du fortsætte med at anvende Google Analytics – her finder du også også kravene til ‘reverse proxy’ løsningens konfiguration
Brug af Google Analytics til webstatistik (datatilsynet.dk)
Eksempel på omkostninger hvis du vil fortsætte med Google Analytics
Så store konsekvenser kan det få
Det franske datatilsyns beskrivelse af hvordan du kan benytte GA fremadrettet vha. fx ‘reverse proxy’ med lidt flere detaljer
Det ny Privacy Shield – kommer om et par dage
Afrunding
Og husk – det her er muligvis kun begyndelsen. Forvent der kommer tilsvarende i relation til Facebook (og dermed også Instagram), LinkedIn, Zapier og alle de andre, der er US-baserede udbydere. Vi er sandsynligvis kun lige begyndt…