Er Google Analytics ulovlig?

02.03.23


5 minutter

Det norske Datatilsynet kom 1. mars 2023 med en melding om “Google Analytics-saken” hvor de viser til en installasjon på telenor.com hvor de mener at bruken av Analytics var ulovlig. 

Dette følger av lignende uttalelser fra andre europeiske datatilsyn, og stammer tilbake til en klage i hele Europa hvor tre norske sider ble inkludert. Klagen gikk på hvordan Google Analytics var installert på blant annet Telenor sin nettside.

Identifisering og ansvar

Alle de europeiske datatilsynene jobber med denne saken sammen og har naturlig nok kommet til samme konklusjon. En avgjørende faktor ser ut til å være at de mener "noen" kan identifisere brukere basert blant annet på informasjonen som samles inn via Google Analytics.

Det ser ikke ut til å bli tatt høyde for at eiere av nettsiden som bruker Google Analytics i svært liten grad har noen mulighet til å identifisere en bruker, men at Google og amerikanske myndigheter trolig har denne muligheten.

- Vurderingstemaet er om noen med rimelighet kan identifisere. Det interessante her er ikke hva nettside-eiere, byråer og brukere kan og vil, men heller hva Google og amerikanske myndigheter får til, forteller Tobias Judin, Seksjonssjef, internasjonal seksjon i Datatilsynet til Digital Opptur og legger til.

- Ansvaret ligger (dessverre) hos nettside-eier, siden det er de som bruker verktøyet som fører til at personopplysningene deles. Med andre har nettsideeieren ansvaret for deling/overføring, og så har Google også et ansvar for hva som skjer videre når dataene er overført, så klart. 

Så kan Google Analytics 4 løse problemet?

Siden klagen som datatilsynene har behandlet så har en ny versjon av Google Analytics blitt tilgjengelig; Google Analytics 4.

Ja, mener Google. Trolig ikke, mener Datatilsynet.

Det norske Datatilsynet sier at de “ikke har tatt stilling til” om Google Analytics 4 ville gitt et annet utfall i klagen mot telenor.com, “men så vidt vi kan se vil ikke nødvendigvis Google Analytics 4 rette opp de problemene vi foreløpig har identifisert.” 

Dette står i kontrast til hva Google selv sier rundt innsamling og lagring av data i Google Analytics 4. Hvor de er svært tydelig på at “Google Analytics 4 does not log or store individual IP addresses.” i tillegg til at “When Analytics collects measurement data, all IP lookups are performed on EU-based servers before forwarding traffic to Analytics servers for processing.

Hva skal du gjøre?

Vedtaket fra Datatilsynet er tydelig, men ikke endelig. Google er uenig. Så gjenstår det å se om (når?) det kommer systemendringer som kan påvirke konklusjonen her.

Det er liten tvil om at du som eier en nettside og vi som byrå - har liten eller ingen mulighet til å identifisere enkeltpersoner ved å bruke Google Analytics. Men Google selv og amerikanske myndigheter har trolig den muligheten.

Da følger spørsmålet om hvem som er ansvarlig for et evt brudd på GDPR; de som har lagt ut Google Analytics på nettsiden sin, eller de som “kan identifisere” en bruker? Datatilsynet hevder at de som bruker Google Analytics er ansvarlig siden det er de som samler inn dataen.

Et alternativ er selvfølgelig å ikke spore nettsiden din i det hele tatt. Men det mener vi er en dårlig løsning, siden det finnes alternativer til å måle hvem som besøker nettsiden din. For de fleste anbefaler vi Matomo Analytics.

For de mer avanserte som har en utvidet verdi av data og analyse så vil vi anbefale server side oppsett.

Matomo Analytics

Et godt analyseprogram som tar hensyn til personvern, men gir deg det du trenger av informasjon på en god måte.

Les mer: Slik bruker du Matomo Analytics

Fathom Analytics

Fathom Analytics er et enkelt analyseverktøy som ikke samler inn like mye data som de andre. Men kanskje mer enn nok til hva du trenger. Her finner du ikke hundrevis av innstillinger og valg, men de viktigste tallene.

Les mer: Slik bruker du Fathom Analytics

Piwik Pro

Piwik Pro er et omfattende analyseprogram som også har støtte og løsninger for Tag Manager og Consent Manager. Her kan du skreddersy og tilpasse slik du ønsker, men hele tiden ta hensyn til personvernet.

Les mer: Slik bruker du Piwik Pro

Server side (egen server)

Å samle inn dataene på egen server - og beholde de der - er det som gir deg mest kontroll og mulighet til å fortsatt jobbe med data. Da kan du selv velge hva du skal samle inn av både online og offline data. 

I tillegg kan du med server side sporing få sanntidsdata om konverteringer. Det  kan være svært viktig for annonsører som trenger å ta raske beslutninger om sine kampanjer

Les mer: Hvordan sette det opp server side

Dette er et viktig spørsmål som vil sette retning og rammer i tiden fremover. For at du skal kunne ta et best mulig valg ønsker vi å hjelpe deg med innsikt og fakta om fordeler og ulemper med hvert alternativ.

Kontakt oss i dag for å diskutere hvilket analysesystem som passer best for deg, og hva dere som bedrift bør velge.

På utkikk etter mer lesestoff?

Meld deg på vårt nyhetsbrev
 
Alle rettigheter reservert 2024