Det danske datatilsyn (link) har vurderet, at brugen af Google Analytics kræver en række supplerende foranstaltninger, da Google Analytics ellers krænker EU borgers rettigheder.
”Reglerne i GDPR er lavet for at beskytte europæiske borgeres privatliv. Det betyder blandt andet, at man skal kunne besøge en hjemmeside, uden at ens oplysninger kan ende i de forkerte hænder. Vi har gennemgået mulighederne i Google Analytics nøje og er kommet frem til, at man ikke kan bruge værktøjet i sin nuværende form uden at træffe yderligere foranstaltninger,”
- Makar Juhl Holst, chefkonsulent i Datatilsynet
Datatilsynet læner sig dermed op af både det østrigske, italienske og franske datatilsyn, med henblik på hvilke foranstaltninger man som website-ejer SKAL tage, for at gøre dataindsamlingen compliant.
I store linjer så skal du anonymisere alt personhenførbart data, og du skal bruge en server som står i EU.
I 2020 bliver det daværende Privacy Shield invalideret. Privacy Shield forestod en aftale om dataflow mellem EU og US, og regulerede dermed også data fra EU borgere til amerikanske virksomheder.
Det forventes dog at der snarest er godkendt en ny lov som erstatning for Privacy Shield, som vil gøre din nuværende Google Analytics-opsætning lovlig (i hvert fald i dataoverførslen mellem EU og US).
Den nye aftale hedder Trans Atlantic Data Privacy Framework, og har bl.a. fokus på at amerikanske instanser ikke kan få adgang til data om EU borgere i samme omfang som tidligere.
Det franske datatilsyn, CNIL, har udgivet syv krav for lovliggørelsen af website-tracking. Vi referer her de syv krav, og kommenterer på dem enkeltvis.
Fra et marketingperspektiv står vi overfor en situation, hvor man skal rense al trafik for kontekst. Man skal altså fjerne UTM og andre parametre fra URLer, samt af referrer - altså hvor din trafik kommer fra.
Det betyder at dine emailkampagner, Google Ads-kampagner, Facebook-trafik (betalt eller organisk), din SEO-indsats osv., ikke længere kan registreres.
Arbejder man med marketing, så står man altså tilbage med et GDPR-compliant, men kontekstfattigt analyseværktøj, hvis indsigter er alt fra tvivlsomme til uklare.
If a location is transmitted to the servers of the measurement tool, it must be carried out by the proxy server and the level of precision must ensure that this information does not allow the person to be re-identified (for example, by using a geographical mesh ensuring a minimum number of Internet users per cell).
To ensure effective pseudonymisation, the algorithm performing the replacement should ensure a sufficient level of collision (i.e. a sufficient probability that two different identifiers will give an identical result after a hash) and include a time-varying component (adding a value to the hashed data that evolves over time so that the hash result is not always the same for the same identifier)
Uden referrer-data mister man indsigt i sin referral -rafik i Google Analytics. I dag finder du bl.a. trafik som kommer fra blogs, Googles organiske søgeresultat, andre søgemaskiner og affiliate marketing for at nævne nogle.
e.g. UTMs, but also URL parameters allowing internal routing of the site.
Such as user-agents, to remove the rarest configurations that can lead to re-identification.
(CRM ID, unique ID)
Og så i øvrigt alt andet data som kan være personhenførbart.
Dette handler specifikt om Google Analytics, men bredden af problemet er markant større. Specielt hvis du arbejder med marketing, da dataoverførslen fra EU til US ikke kun er en Google Analytics-ting.
Derfor forventer vi også, at der snarest opstår samme fokus på andre platforme som META, Google Ads, HubSpot, Klaviyo osv., da al data også her sendes til USA.
Udover at du skal manipulere din indsamlede data som ovenfor beskrevet, så skal du samtidig sikre dig, at du ikke sender data til USA.
Du skal derfor bruge en server som mellemmand mellem dit website og Google Analytics. For data SKAL sendes til USA for at blive processeret, for at du kan se flotte grafer i Universal Analytics, Google Analytics 4, eller en dashboardløsning der beror på Google Analytics-data.
Hvis du som de fleste andre har opsat dette gennem Google Tag Manager og en Google Cloud-server, så er din server altså stadig en fysisk computer, som står i USA og er ejet af et ikke-EU-baseret firma som hedder Google.
Altså sendes data til USA. Du skal derfor lede efter en EU-baseret server til at modtage og videresende den rensede data.
Vi står klar til hjælpe dig med at lave en plan for, hvordan du sikrer at dit setup er compliant - kontakt os i dag for at høre mere.
©2023 MOONRAKER ApS. All rights reserved.