Udmelding fra Datatilsynet vækker opsigt: Google Analytics kan som udgangspunkt ikke benyttes lovligt

Googles statistikværktøj kan ikke bruges uden supplerende foranstaltninger. Det er alvorligt og rammer 8 ud af 10 netbutikker, lyder det fra Dansk Erhverv, som opfordrer virksomhederne til at nærlæse Datatilsynets afgørelse, undgå panik og undersøge alternativerne til Google Analytics. Dansk Erhverv presser på for at fremskynde en politisk løsning.

 

 

Googles udbredte og gratis statistikværktøj lever ikke op til de europæiske GDRP-regler, og kan derfor som udgangspunkt ikke lovligt anvendes af danske virksomheder.

Det vurderer det danske datatilsyn.

Udmeldingen kommer ikke som et chok, da den følger i fodsporene på andre europæiske myndigheders vurdering. Alligevel har det fået stor opmærksomhed i den danske e-handelsbranche, forklarer Carsten Rose Lundberg, som er fagchef for Digital Handel i Dansk Erhverv.

”Jeg vil umiddelbart vurdere, at mindst 8 ud af 10 virksomheder bruger Google Analytics, og blandt de små og mellemstore virksomheder er det formentlig endnu højere. Derfor er det ganske alvorligt for rigtig mange, at et så vigtigt redskab, som de fleste bruger på daglig basis, ikke uden videre kan bruges.”

Årsagen til Datatilsynets vurdering er, at Google sender oplysninger til servere i USA, som ifølge en afgørelse fra 2020 ikke er et sikkert 3. land.

"Derfor er det ganske alvorligt for rigtig mange, at et så vigtigt redskab, som de fleste bruger på daglig basis, ikke uden videre kan bruges."

- Carsten Rose Lundberg

Kig på din data og alternativerne

Virksomheder, der benytter Google Analytics, skal nu vurdere, om deres eventuelle fortsatte brug af værktøjet sker inden for rammerne af databeskyttelsesreglerne. Hvis det ikke er tilfældet, har virksomhederne pligt til enten at lovliggøre sin brug af værktøjet eller om nødvendigt ophøre med at benytte værktøjet.

Datatilsynet peger på, at en mulighed kan være den såkaldte reverse proxy-server-løsning, hvor man lægger et ekstra lag sikkerhed ind ved at sende al data til en server, man selv har kontrol over, for derefter at pseudonymisere data og sende det til Google.

Det er dog langt fra en optimal løsning, lyder det fra Carsten Rose Lundberg.

”Kort og godt så er det omkostningstungt, og det bliver alt andet lige et dårligere slutprodukt. Derfor er det ikke en løsning, man skal vælge uden at sætte sig ind de konsekvenser, det vil have. Ikke dermed sagt, at det ikke vil være den rigtige løsning for nogen, men det vil typisk være de store virksomheder, der har ressourcer til at købe sig til det og overskue konsekvenserne.”

"Det er for at sige det lige ud noget værre hø."

- Carsten Rose Lundberg

En anden løsning er at kigge på, hvilke alternativer der er til Google, men den er heller ikke uproblematisk, pointerer Carsten Rose Lundberg:

”Fælles for alle alternativerne er, at det koster ressourcer at implementere og lære, hvordan man bruger det. Det vil især ramme de mindre virksomheder.”

Samtidig mister man al den data, man har opbygget, påpeger han:

”Det er for at sige det lige ud noget værre hø, for data har som udgangspunkt kun værdi, hvis det kan sammenlignes med noget. Derfor vil der gå lang tid, inden man kan sammenligne data igen, og det kan blive en dyr fornøjelse, hvis man eksempelvis ikke ved, hvilke marketingtiltag, der virker.”

Undgå panik

Selvom udmeldingen er alvorlig, og løsningerne ikke står i kø, så anbefaler Dansk Erhverv, at virksomhederne tager en dyb indånding, inden de tager beslutninger.

”Der findes alternativer, Datatilsynet siger selv, at man ikke skal have løst udfordringen i morgen, og så kan vi håbe, at det bliver løst fra politisk hånd,” siger Carsten Rose Lundberg og henviser til, at Ursula von der Leyen og Joe Biden den 25. marts 2022 præsenterede en aftale om principper for et transatlantisk dataflow, som skal erstatte den gamle EU/US privacy shield-ordning allerede i 2022.

”Det giver udsigt til, at den gamle Privacy Shield-ordning snart kan erstattes, og det vil komme alle virksomheder og myndigheder i Europa til gode,” siger Carsten Rose Lundberg og understreger, at Dansk Erhverv kommer til at kæmpe for, at det sker.

Har du spørgsmål til afgørelsen, er du velkommen til at række ud til Dansk Erhverv.

Der findes alternative analyseværktøjer

Der findes alternativer til Google Analytics. Læs om mulighederne her.

Datatilsynet inviterer til bemærkninger

Datatilsynet kan ikke udelukke, at der kan være omstændigheder eller tekniske indstillinger, som tilsynet ikke har taget højde for. Datatilsynet inviterer organisationer og eventuelle personer, der har særlig indsigt i det pågældende værktøj til at skrive til tilsynet, hvis de mener, at der er omstændigheder, som tilsynets vejledning ikke tager højde for.

Baggrund for Datatilsynets vurdering

Det er Datatilsynets opfattelse, at når Google Analytics anvendes som analyseværktøj, sker der en overførsel af personoplysninger til USA i form af bl.a. et unikt ID.

Efter GDPR er det som udgangspunkt forbudt at overføre personoplysninger til usikre 3. lande udenfor Europa. Undtaget fra forbuddet er lande, som EU-Kommissionen har vurderet, har et tilstrækkeligt beskyttelsesniveau.

Indtil juli 2020 var USA undtaget fra forbuddet, hvis overførslen skete under den såkaldte Privacy Shield-ordning. De virksomheder, der bruger GA har derfor brugt Privacy Shield ordningen til at overføre personoplysninger til USA.

I juli 2020 underkendte EU-Domstolen Privacy Shield ordningen. Herefter var det kun lovligt at overføre personoplysninger til USA, hvis virksomheden havde et overførselsgrundlag (fx EU-Kommissionens standardkontraktsbestemmelser, som Google anvender), og der fastsættes ”supplerende (yderligere) foranstaltninger”, der sikrer en tilsvarende beskyttelse som i EU. Supplerende foranstaltninger kan være kryptering eller pseudonymisering af personoplysninger.