Er Google Analytics forbudt?

Datatilsynet har nå varslet at de planlegger å fatte en beslutning om at Google Analytics skal “forbys”. De har imidlertid kun vurdert Universal Analytics og ikke Google Analytics 4 – og de sier i sitt svar (se lenger ned) at det uansett ikke er snakk om noe direkte forbud.

Vi har hatt en direkte e-postdialog med Datatilsynet om saken. Under gjengis først vårt brev, og så svaret:

Til Datatilsynet fra Nina Furu, fredag 3. mars:

Jeg leste med interesse denne saken https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2023/varsel-om-vedtak-i-google-analytics-saken/ Den er også ivrig diskutert i denne gruppen for SEO og analyse-fagmiljøene i Norge: https://www.facebook.com/groups/1532782923665131 der jeg er medlem.
 
Som daglig leder i Webgruppen (som bl.a. leverer kurs i Google Analytics) og som “nettveteran” med godt over 25 års erfaring i digitale flater, vil jeg gjerne med respekt å melde få lov til å målbære det synspunktet som Hans-Petter Blindheim beskriver i denne artikkelen: https://curamando.com/no/google-analytics-gdpr-compliance/
 
Jeg intervjuet også Blindheim om dette i Webgruppens ukentlige livesending for noen uker siden. Sendingen ligger her: https://www.youtube.com/watch?v=m5-wDOMM3Ak&t=861s
 
Kortversjonen av dette er som følger: 
 
1. De samme problemstillingene som knytter seg til Google Analytics 4, knytter seg også til andre webanalyseverktøy. Det gir derfor ikke mening å anbefale norske bedrifter å velge andre verktøy, siden de strider mot GDPR på samme måte som Google Analytics 4 gjør. (Og det gir liten mening å snakke om Universal Analytics, da Google startet automatisk omlegging av alle konti til GA4 allerede 28. februar.)
 
2. På grunn av at problemstillingene ikke bare gjelder Google Analytics, men også alle alternativer, vil et direkte forbud mot Google Analytics være det samme som et forbud mot all webanalyse i Norge. Et slikt forbud vil ha enorme konsekvenser for norske virksomheter i både privat og offentlig sektor.
 
3. Det er mulig å omgå problemstillingene i punkt 1 med en proxy-løsning slik Blindheim beskriver i sin artikkel. En slik løsning vil anonymisere dataene fullstendig, mens det samtidig tillater virksomhetene innhenting av absolutt anonymiserte brukerdata. En slik løsning vil kunne settes opp med alle analyse-verktøy, inkludert Google Analytics 4.
 
Jeg håper derfor at man vil hensynta dette i arbeidene med vedtaket, og avstå fra et umodifisert forbud mot Google Analytics (som altså også vil være et forbud mot all annen webanalyse), men i stedet inkludere en formulering som påpeker at absolutt anonymiserte målinger er tillatt.
 
Med vennlig hilsen,
Nina Furu
Webgruppen AS
 

————–

Svar fra Datatilsynet til Nina Furu samme dag (gjengitt med tillatelse):

Hei, Nina!

 

Vi noterer oss innspillene dine (og jeg har også snakket med Blindheim).

 

Samtidig ser jeg at det er mange misforståelser der ute om

·         hva Datatilsynet faktisk har sagt og gjort (vi har så langt bare behandlet en enkeltstående klagesak om GA 3 som vi hadde plikt til å behandle – vi har ennå ikke kommet med noen generelle veiledere; i nettmeldingen vår sier vi tvert imot at vi kommer tilbake med mer info senere om hvilke forventinger vi har – vi har heller ikke sagt at man bare kan bytte over til et hvilket som helst annet verktøy; poenget er at man heller må vurdere grundigere hvilke verktøy man bruker)

·         hvilken rettslig problemstilling vi har sett på (i den konkrete klagesaken har vi bare sett på mulig overføring av personopplysninger til USA, som er en veldig begrenset problemstilling – det finnes faktisk ganske mange analyseverktøy der dette ikke er en utfordring)

·         hva vi kommer til å gjøre (vi kommer ikke til å totalforby Google Analytics (særlig med henvisning til proxy-løsningen som vi selvsagt er kjent med) – selv om overskrifter og forståsegpåere fremstiller det som om det er det vi har gjort – og at webanalyse nå blir «ulovlig» er rett og slett ikke treffende)

 

Jeg opplever rett og slett at diskusjonen har fått egne bein å gå på, og da er det heller ikke rart at det kommer reaksjoner, men jeg synes dette er i ferd med å bli lite konstruktivt.

 

Google Analytics er trolig ulovlig fordi det trolig overfører personopplysninger til USA. Da kan man velge et europeisk analyseverktøy uten overføringer til tredjeland i stedet. Det er et godt poeng at de fleste analyseverktøy behandler personopplysninger, og da er det grenser man må holde seg innenfor, men det er ikke det samme som at enhver behandling av personopplysninger i kontekst av webanalyse er ulovlig.

—————- 

Med utgangspunkt i dette har jeg invitert Datatilsynet til å delta i min livesending kommende fredag (10. mars) sammen med Blindheim og meg selv for å oppklare disse utbredte misforståelsene. De har imidlertid valgt å avslå dette, under henvisning til begrensede ressurser.

Vi sendte deretter denne oppfølgende eposten:

————-

Hei, igjen.

 
Jeg har tygd litt på svaret ditt, og skal prøve å gjengi dette så tydelig som mulig i fredagens sending, siden dere ikke har mulighet til å komme selv.
 
Jeg lurer imidlertid på: Hvis problemet er overføring av data til amerikanske myndigheter, vil ikke da nøyaktig det samme gjelde for eksempel Microsoft, Mailchimp, Hubspot og en svært lang rekke andre selskaper som også har eiere som faller inn under amerikansk lov? I det hele tatt: Vil ikke det samme gjelde praktisk talt alle verktøy som vi i næringslivet er avhengige av?
 
Og videre: Hvis man fullstendig anonymiserer dataene, slik Blindheim foreslår, så vil det jo heller ikke være noen data i systemet å utlevere. Hvordan kan da denne innsigelsen være relevant?
 
Jeg forstår at det ikke er Datatilsynets oppgave å se på alle konsekvensene her, og at dere må forholde dere til de sakene dere pålegges å behandle. Men siden man her snakker om noen svært omfattende problemstillinger og deres konsekvenser, bør det ikke i det minste gjøres noen refleksjoner rundt dette?
 
Med vennlig hilsen,
Nina Furu :-)))
 
————
 

Selv om Datatilsynet ikke vil delta, så diskuterer vi imidlertid dette uansett. For å være med på sendingen kan du gå inn på Webgruppens Facebook-side klokken 10. fredag.

————

Under følger min opprinnelige artikkel fra 31. mars 2022 om denne saken:

Er Google Analytics forbudt?

Det korte svaret på dette er nei, ikke hvis du gjør det riktig. Google Analytics samler inn data på en måte som ikke automatisk er i henhold til GDPR, men du kan gjøre grep med oppsettet som avhjelper dette (bl.a. ved å anonymisere IP-adresser). Du må også generelt overholde GDPR-krav, og saken har dessuten en politisk dimensjon.

Både det oppsettsmessige, det tekniske og den politiske siden av saken må løses. Hvis disse er løst, kan du bruke Google Analytics, spesielt den kommende versjonen GA4. Vi må imidlertid også nevne at Google Analytics KAN bli forbudt i Norge også, etter at det ble det i Danmark i september i år.

Vi skal se på hver av de faktorene som må løses for fortsatt å bruke Google Analytics:

1. Oppsettet

Google Analytics (GA) setter informasjonskapsler på brukernes maskiner, som så sender data til Google. Skal du lovlig bruke GA på dine websider, må du sørge for at du har en cookie-popup som forklarer dette til brukerne, og som tillater dem å krysse av for at dette er greit. Du må også ha en teknisk løsning som ikke setter noen slik cookie på maskinen til brukere som her svarer nei.
 
I tillegg til dette må du anonymisere IP-adresser. Dette er en innstilling i Google Tag Manager. Du må dessuten generelt ha papirarbeidet i orden. Det betyr bl.a. at du har foretatt en risikovurdering, at du fører en protokoll over behandlingsaktiviteter og at du har en personvernerklæring på sidene dine som forklarer i større detalj om bruken av cookies.
 
Disse kravene gjelder forøvrig alle verktøy som brukes på websiden din (WordPress plugins, Hotjar, skjemaløsninger og alt annet), ikke bare Google Analytics . Velger du et annet analyseverktøy i stedet, må dette også oppfylle de samme kravene til datasikkerhet.
 

2. Google Analytics 4

Google Analytics har de siste månedene holdt på med å rulle ut en helt en ny versjon, som heter Google Analytics 4 (GA4). Denne erstatter den eksisterende versjonen Universal Analytics (UA), som har vært i bruk i mange år. GA4 tar bedre hensyn til personvern i utgangspunktet, og bruker også syntetiske data (kunstig intelligens) til å kompensere for de datapunktene som det ikke lenger er lovlig å samle inn.

Universal Analytics vil slutte å samle inn data 1. juli 2023. Innen dette må du altså ha lagt over til GA4. Vi anbefaler dessuten at du starter med dette så snart som mulig, slik at du er helt oppe og stå på GA4 før UA slukkes ned. (De historiske dataene vil fortsatt ligge i din konto, så du fortsetter å ha tilgang til disse. GA4 opprettes som et eget område på samme konto som din eksisterende UA, så de to vil eksistere parallelt.)

Google sier selv at med GA4 kan du bruke Analytics på en GDPR-compliant måte, gitt at du altså selv har gjort det relevante arbeidet – ref. punkt 1.

3. Politiske faktorer

Et annet problem har vært at de fleste store, internasjonale verktøy vi som digitale markedsførere bruker er eid av amerikanske selskaper. Dette gjelder både Google Analytics, Gmail, Microsoft 360, Mailchimp, Hubspot, Kajabi og tusenvis av andre små og store plattformer.

Dette er et problem, fordi amerikanske myndigheter har rett til å kreve utlevering av data fra alle amerikanske selskaper. Dette betyr da at når ditt firma bruker disse plattformene, så kan i teorien også data om dine brukere bli utlevert – noe som er et brudd på dine kunders datasikkerhet, og et alvorlig overtramp av deg som behandlingsansvarlig. Dette gjelder selv om serverne som dine brukeres data ligger på befinner seg innenfor EU, så lenge selve selskapet er amerikansk.

Google informerer forøvrig om at de i alle sine driftsår aldri har fått anmodning fra amerikanske myndigheter om slike data, men dette spiller liten rolle så lenge muligheten teoretisk sett er der.

Tidligere fantes det en samarbeidsavtale som het “Privacy Shield” mellom EU og USA som de viktigste store software-leverandørene hadde signert. Denne avtalen  gjorde at europeiske brukerdata var unntatt slik utlevering etter gitte vilkår. I den såkalte Schrems II-dommen så ble imidlertid denne avtalen underkjent. 

En ny avtale til erstatning for Privacy Shield, det såkalte “Trans-Atlantic Data Privacy Framework” som er del av Digital Markets Act, ble signert 24. mars 2022. Personvernaktivisten Max Schrems har imidlertid allerede varslet at han kommer til å ta ut rettssaker som tvinger EU-landene til å prøve også denne avtalen rettslig. Vi kan derfor antakelig også vente oss en Schrems III-dom. Men inntil slike saker kommer for retten, er de politiske faktorene i hvert fall midlertidig løst.

Konklusjon

Webgruppens ansatte er ikke jurister, og det å lese en artikkel som dette må ikke forstås som juridisk rådgivning. Vi anbefaler å søke juridisk bistand om du er i tvil.

Når det er sagt: Så vidt vi kan forstå, må konklusjonen være at etter 24. mars 2022 er det lov å bruke Google Analytics inntil videre, gitt at du oppfyller GDPR-krav og kravene til oppsett av din Google Analytics. Inntil en eventuell dom i Norge forandrer disse vilkårene.

… og vi i Webgruppen fortsetter selvfølgelig med å holde kurs i Google Analytics.  

Klikk her for å motta tips om våre kurs og gratis livesendinger: 

Ja takk, send meg tips

Sertifiseringskurs

Sertifiseringskurs i digital marketing

Sertifiseringskurs i markedsføring i sosiale medier

Sertifiseringskurs i markedsføring med søk

Nettkurs

Sosiale medier

Kurs om sosiale medier

Facebook

Instagram

Linkedin

TikTok

YouTube

Innholdsproduksjon

Kurs om Content Marketing

Digital Tekst

Digital Video

Podcasts

Intranett

Websider

Salg / Markedsføring

Kurs i digital markedsføring

Google Ads

Google Analytics

Netthandel

Google SEO (søkemotoroptimalisering)

KnowHouse AS
Professor Dahls gate 1
0355 Oslo
Org. nr: 989512560

Sosiale medier

Du finner oss på sosiale medier her:
Facebook-square X-twitter Instagram Linkedin

Kontakt oss

Sentralbord: 454 75 000

Epost: post@knowhouse.no

Direktemelding: Facebook Messenger

Personvern/Betingelser

Les mer om personvern her:
Personvernerklæring

Se også kjøpsbetingelser

Handlekurv

Meld deg på kurstips-listen

og få varslinger om gratis livesendinger og kurs!

Du får disse markedsførings-

sjekklistene som velkomstgave:

 

  • Sjekkliste for SEO
  • Sjekkliste for Facebook
  • Sjekkliste for Instagram

 

25316