GDPR Compliant Google Analytics Tracking

Google Analytics er ikke lovligt med en standardopsætning

Det danske datatilsyn (link) har vurderet, at brugen af Google Analytics kræver en række supplerende foranstaltninger, da Google Analytics ellers krænker EU borgers rettigheder.

”Reglerne i GDPR er lavet for at beskytte europæiske borgeres privatliv. Det betyder blandt andet, at man skal kunne besøge en hjemmeside, uden at ens oplysninger kan ende i de forkerte hænder. Vi har gennemgået mulighederne i Google Analytics nøje og er kommet frem til, at man ikke kan bruge værktøjet i sin nuværende form uden at træffe yderligere foranstaltninger,”

- Makar Juhl Holst, chefkonsulent i Datatilsynet

Datatilsynet læner sig dermed op af både det østrigske, italienske og franske datatilsyn, med henblik på hvilke foranstaltninger man som website-ejer SKAL tage, for at gøre dataindsamlingen compliant.

I store linjer så skal du anonymisere alt personhenførbart data, og du skal bruge en server som står i EU.

Der findes overordnet tre muligheder

Status Quo

Afvent Trans Atlantic Data Privacy Framework bliver endeligt godkendt

EU Server side tagging

Opsætning af EU-baseret server-side tagging med pseudonymiseret data.

Alternative systemer

Opsætning og brug af andre systemer til måling af website-trafik.

Fra Privacy Shield til Trans Atlantic Data Privacy Framework

I 2020 bliver det daværende Privacy Shield invalideret. Privacy Shield forestod en aftale om dataflow mellem EU og US, og regulerede dermed også data fra EU borgere til amerikanske virksomheder.

Det forventes dog at der snarest er godkendt en ny lov som erstatning for Privacy Shield, som vil gøre din nuværende Google Analytics-opsætning lovlig (i hvert fald i dataoverførslen mellem EU og US).

Den nye aftale hedder Trans Atlantic Data Privacy Framework, og har bl.a. fokus på at amerikanske instanser ikke kan få adgang til data om EU borgere i samme omfang som tidligere.

Syv krav til lovliggørelsen af website tracking

Det franske datatilsyn, CNIL, har udgivet syv krav for lovliggørelsen af website-tracking. Vi referer her de syv krav, og kommenterer på dem enkeltvis.

Fra et marketingperspektiv står vi overfor en situation, hvor man skal rense al trafik for kontekst. Man skal altså fjerne UTM og andre parametre fra URLer, samt af referrer - altså hvor din trafik kommer fra.

Det betyder at dine emailkampagner, Google Ads-kampagner, Facebook-trafik (betalt eller organisk), din SEO-indsats osv., ikke længere kan registreres.

Arbejder man med marketing, så står man altså tilbage med et GDPR-compliant, men kontekstfattigt analyseværktøj, hvis indsigter er alt fra tvivlsomme til uklare.

The absence of transfer of the IP address to the servers of the analytics tool

If a location is transmitted to the servers of the measurement tool, it must be carried out by the proxy server and the level of precision must ensure that this information does not allow the person to be re-identified (for example, by using a geographical mesh ensuring a minimum number of Internet users per cell).

Fokus er på dataoverførslen og hvor akkurat en geografisk lokation må være, for ikke at være personhenførbar. Ifølge Google opbevares IP adressen ikke i GA4, mens du i Universal Analytics kan anonymisere den.

The replacement of the user identifier by the proxy server

To ensure effective pseudonymisation, the algorithm performing the replacement should ensure a sufficient level of collision (i.e. a sufficient probability that two different identifiers will give an identical result after a hash) and include a time-varying component (adding a value to the hashed data that evolves over time so that the hash result is not always the same for the same identifier)

Bruger-IDer skal hashes ved dataoverførsel.

The removal of external referrer information from

Uden referrer-data mister man indsigt i sin referral -rafik i Google Analytics. I dag finder du bl.a. trafik som kommer fra blogs, Googles organiske søgeresultat, andre søgemaskiner og affiliate marketing for at nævne nogle.

The removal of any parameters contained in the collected URLs

e.g. UTMs, but also URL parameters allowing internal routing of the site.

Uden UTM vil du ikke kunne læse din betalte trafik fra Facebook, TikTok eller email-kampagner.

Reprocessing of information that can be used to generate a fingerprint

Such as user-agents, to remove the rarest configurations that can lead to re-identification.

The absence of collection of cross-site or lasting identifiers

(CRM ID, unique ID)

Eksempelvis Klaviyo, HubSpot eller andre CRM-systemer

The deletion of any other data that could lead to re-identification.

Og så i øvrigt alt andet data som kan være personhenførbart.

Hvordan kan du lovliggøre Google Analytics igen?

Udover at du skal manipulere din indsamlede data som ovenfor beskrevet, så skal du samtidig sikre dig, at du ikke sender data til USA.

Du skal derfor bruge en server som mellemmand mellem dit website og Google Analytics. For data SKAL sendes til USA for at blive processeret, for at du kan se flotte grafer i Universal Analytics, Google Analytics 4, eller en dashboardløsning der beror på Google Analytics-data.

Hvis du som de fleste andre har opsat dette gennem Google Tag Manager og en Google Cloud-server, så er din server altså stadig en fysisk computer, som står i USA og er ejet af et ikke-EU-baseret firma som hedder Google.

Altså sendes data til USA. Du skal derfor lede efter en EU-baseret server til at modtage og videresende den rensede data.

Vi står klar til hjælpe dig med at lave en plan for, hvordan du sikrer at dit setup er compliant - kontakt os i dag for at høre mere.

Kontakt os i dag

Sådan bliver din Google Analytics tracking compliant

Det danske datatilsyn har pr. 21 september 2022 ulovliggjort Google Analytics opsætningen out of the box. Bliv klogere på hvad det er op og ned og hvad du skal gøre som virksomhed.