Er Google Analytics forbudt?

Det korte svaret på dette er nei, ikke hvis du gjør det riktig. Google Analytics samler inn data på en måte som ikke automatisk er i henhold til GDPR, men du kan gjøre grep med oppsettet som avhjelper dette (bl.a. ved å anonymisere IP-adresser). Du må også generelt overholde GDPR-krav, og saken har dessuten en politisk dimensjon.

Både det oppsettsmessige, det tekniske og den politiske siden av saken må løses. Hvis disse er løst, kan du bruke Google Analytics, spesielt den kommende versjonen GA4.

Vi skal se på hver av disse faktorene:

1. Oppsettet

Google Analytics (GA) setter informasjonskapsler på brukernes maskiner, som så sender data til Google. Skal du lovlig bruke GA på dine websider, må du sørge for at du har en cookie-popup som forklarer dette til brukerne, og som tillater dem å krysse av for at dette er greit. Du må også ha en teknisk løsning som ikke setter noen slik cookie på maskinen til brukere som her svarer nei.
 
I tillegg til dette må du anonymisere IP-adresser. Dette er en innstilling i Google Tag Manager. Du må dessuten generelt ha papirarbeidet i orden. Det betyr bl.a. at du har foretatt en risikovurdering, at du fører en protokoll over behandlingsaktiviteter og at du har en personvernerklæring på sidene dine som forklarer i større detalj om bruken av cookies.
 
Disse kravene gjelder forøvrig alle verktøy som brukes på websiden din (WordPress plugins, Hotjar, skjemaløsninger og alt annet), ikke bare Google Analytics . Velger du et annet analyseverktøy i stedet, må dette også oppfylle de samme kravene til datasikkerhet.
 

2. Google Analytics 4

Google Analytics har de siste månedene holdt på med å rulle ut en helt en ny versjon, som heter Google Analytics 4 (GA4). Denne erstatter den eksisterende versjonen Universal Analytics (UA), som har vært i bruk i mange år. GA4 tar bedre hensyn til personvern i utgangspunktet, og bruker også syntetiske data (kunstig intelligens) til å kompensere for de datapunktene som det ikke lenger er lovlig å samle inn.

Universal Analytics vil slutte å samle inn data 1. juli 2023. Innen dette må du altså ha lagt over til GA4. Vi anbefaler dessuten at du starter med dette så snart som mulig, slik at du er helt oppe og stå på GA4 før UA slukkes ned. (De historiske dataene vil fortsatt ligge i din konto, så du fortsetter å ha tilgang til disse. GA4 opprettes som et eget område på samme konto som din eksisterende UA, så de to vil eksistere parallelt.)

Google sier selv at med GA4 kan du bruke Analytics på en GDPR-compliant måte, gitt at du altså selv har gjort det relevante arbeidet – ref. punkt 1.

3. Politiske faktorer

Et annet problem har vært at de fleste store, internasjonale verktøy vi som digitale markedsførere bruker er eid av amerikanske selskaper. Dette gjelder både Google Analytics, Gmail, Microsoft 360, Mailchimp, Hubspot, Kajabi og tusenvis av andre små og store plattformer.

Dette er et problem, fordi amerikanske myndigheter har rett til å kreve utlevering av data fra alle amerikanske selskaper. Dette betyr da at når ditt firma bruker disse plattformene, så kan i teorien også data om dine brukere bli utlevert – noe som er et brudd på dine kunders datasikkerhet, og et alvorlig overtramp av deg som behandlingsansvarlig. Dette gjelder selv om serverne som dine brukeres data ligger på befinner seg innenfor EU, så lenge selve selskapet er amerikansk.

Google informerer forøvrig om at de i alle sine driftsår aldri har fått anmodning fra amerikanske myndigheter om slike data, men dette spiller liten rolle så lenge muligheten teoretisk sett er der.

Tidligere fantes det en samarbeidsavtale som het “Privacy Shield” mellom EU og USA som de viktigste store software-leverandørene hadde signert. Denne avtalen  gjorde at europeiske brukerdata var unntatt slik utlevering etter gitte vilkår. I den såkalte Schrems II-dommen så ble imidlertid denne avtalen underkjent. 

En ny avtale til erstatning for Privacy Shield, det såkalte “Trans-Atlantic Data Privacy Framework” som er del av Digital Markets Act, ble signert 24. mars 2022. Personvernaktivisten Max Schrems har imidlertid allerede varslet at han kommer til å ta ut rettssaker som tvinger EU-landene til å prøve også denne avtalen rettslig. Vi kan derfor antakelig også vente oss en Schrems III-dom. Men inntil slike saker kommer for retten, er de politiske faktorene i hvert fall midlertidig løst.

Konklusjon

Webgruppens ansatte er ikke jurister, og det å lese en artikkel som dette må ikke forstås som juridisk rådgivning. Vi anbefaler å søke juridisk bistand om du er i tvil.

Når det er sagt: Så vidt vi kan forstå, må konklusjonen være at etter 24. mars 2022 er det lov å bruke Google Analytics inntil videre, gitt at du oppfyller GDPR-krav og kravene til oppsett av din Google Analytics.

… og vi i Webgruppen fortsetter selvfølgelig med å holde kurs i Google Analytics

Handlekurv