Fra og med 25 mai 2018, trer loven GDPR (General Data Protection Regulation) i kraft. Dette er det nye regulativet om databeskyttelse, som er ment til å i vareta beskyttelsen av personers data og og hvordan oppbevaring og bruken av denne dataen skal håndteres.
Med andre ord, så stiller hver person sterkere om å kontrollere data om seg selv enn tidligere, samt at bruken av denne dataen nå strammes inn i forhold til hva du har godkjent eller ikke.
19 April sendte Google Analytics ut en oversatt epost til Google Analytics eiere i Norge, merket med "handling kreves". Emnet dreier seg om datalagring og EUs personvernforordning.
Google Analytics har nå lansert muligheten til å styre hvor lenge dataen din skal bli liggende i kontoen. I dag så blir dataen liggende over tid, men fra og med 25 mai, vil "gammel" data slettes og kan ikke lenger benyttes. Google vil da automatisk slette data som er eldre enn det som står spesifisert i innstillingene i Google Analytics.
Det er viktig å presisere at dette er data som er knyttet til bruker og handlinger ("user & events"), som blir slettet i henhold til denne grensen. Aggregerte, samlede data derimot, vil ikke bli berørt av denne grensen.
Det trekkes en linje mellom data som kan relateres til en persons atferd, og data som omhandler en gruppes atferd. For eksempel, hvis du har sporing på aktiviteter (events) så blir denne regulert av datalagringsbegrensningen (Data Retention). Derimot, data som omhandler antall økter (sessions) fra forskjellige kanaler, så vil disse fortsatt være tilgjengelig utover reguleringen.
Som standard har Google satt 26 måneder som grense for hvor lenge dataen vil være tilgjengelig i kontoen.
I tillegg til standarden på 26, er det mulig å sette grense på:
26 måneder ser ut til å være en lenge nok og grei grense da utviklingen innen webteknologi og atferd går såpass fort at data eldre enn 26 måneder ofte ikke er relevant for de fleste nettsteder. Data er som regel ferskvare. Det er viktig at du som eier av dataen du samler inn som nettstedseier, vurderer hvorvidt du trenger data utover standarden eller om du kan klare deg med kortere grense.
Denne dataen kommer som oftest fra cookies, brukeridentifikatorer og annonseidentifikatorer og som kan i verste fall knyttes til en spesifikk person, hvilket er grunnlaget for denne dataloven. Det er ikke slik at all slik data kan knyttes opp mot en person, men for å kunne gi en bruker større rom for å bestemme over egen data og være enda mer trygg på at data ikke kommer på avveie eller benyttes til formål som går utover lover og regler, så er denne muligheten nå satt opp i Google Analytics, for å kunne oppfylle kravene til GDPR loven som nå trer i kraft.
Dette innebærer blant annet data som omhandler:
Når du klikker deg inn på "Oppbevaring av data" (en; "Data Retention") så vises det to konfigurasjonsmuligheter. Den øverste som er markert i bildet under, viser hvor mange måneder som dataen skal lagres. Hvis du ikke konfigurerer denne innen fristen, så vil Google Analytics gå ut i fra standarden på 26 måneder.
Det siste valget i denne konfigurasjonen, bestemmer om dataen tilknyttet bruker og hendelsesdata skal fornyes eller ikke hvis bruker besøker nettstedet på nytt før utløpet av datatidsbegrensningen.
Det vil si, hvis denne konfigurasjonen er satt til "PÅ", og begrensningen er satt til 26 måneder, vil dataen fornye seg og nullstille "telleren", hvis brukeren besøker nettstedet på nytt. Hvis brukeren derimot ikke besøker nettstedet på nytt innen 26 måneder, vil dataen slettes.
Hvis denne konfigurasjonen er satt til "AV", vil data eldre enn 26 måneder slettes uavhengig om brukeren besøker nettstedet på nytt eller ikke, innen disse 26 månedene.
Innen 25 mai, vil Google også lansere eget verktøy for å slette data tilknyttet enkeltbrukere. I de tilfeller det er benyttet sporing av enkeltbrukere gjennom innloggingsfunksjoner og applikasjoner, så kan du nå snart slettes data som er kun tilknyttet en spesifikk bruker, hvis det skulle foreligge en forespørsel om dette.
Vi ønsker å belyse og presisere at alle nettsteder i Norge som benytter Google Analytics, er underlagt regler fra Datatilsynet om at IP-adresser skal anonymiseres, samt at det skal foreligge egen side på nettstedet som forklarer innsamling og benyttelse av dataen på nettstedet.
Hvis du er usikker på om ditt nettsted har anonymisert IP, vennligst ta kontakt med oss så vil vi kunne hjelpe deg med dette.
Personidentifiserbar informasjon er ikke lov å lagre i Google Analytics overhodet. Dette gjelder URLer med navn, personnummer, epost eller andre elementer som kan være med på å identifisere en spesifikk person.
Hvis du har et nettsted der dine URLer kan ha slik informasjon tilstede, ta snarest kontakt med deres webleverandør for å løse dette problemet. I Google Analytics kan som oftest slik filtreres bort. Ta kontakt hvis du trenger bistand på dette.
I siden om personvern og datalagring, som du er nødt til å ha i henhold til Datatilsynets regler, så må det stå hvilke cookies som samler informasjon og hva disse benyttes til.
Google Analytics lagrer følgende cookies (fra gtag.js og analytics.js versjonene):
Analytics.js (Universal Analytics) benytter førsteparts-cookies for å skille mellom brukere og for å gjenta forespørsler innen datainnsamling.
Brukere har selv mulighet til å avslå godkjenning til innsamling av data gjennom Google Analytics egne "Opt out" funksjon som kan legges til nettleseren.
Når data i Google Analytics benyttes til markedsføring, må retningslinjene i henhold til EU følges. Det innebærer at brukerne må gi sin godkjennelse for at vi skal kunne lagre informasjon om brukeren.
"You must use commercially reasonable efforts to disclose clearly, and obtain consent to, any data collection, sharing and usage that takes place on any site, app, email publication or other property as consequence of your use of Google Products; and
You must use commercially reasonable efforts to ensure that an end user is provided with clear and comprehensive information about, and consents to, the storing and accessing of cookies or other information on the end users device where such activity occurs in connection with a product to which this policy applies"
Hvis du benytter annonsering basert på brukernes interesser, inkludert Remarketing, må nettstedseier og innsamler av data overholde reglene for følgende:
I tillegg vil lokale og nasjonale regler være tiltredene i land og områder der egne regler er satt for innsamling av slik data. Hvis du har en bedrift som opererer på nett i forskjellige land, er det viktig å sette seg inn i de forskjellige lands regelverk for datainnsamling, oppbevaring og benyttelse av denne dataen.
Det er viktig å bemerke at det er en del gjentakelser av tidligere regler innenfor annonsering, særlig når det gjelder Google Adwords. Det som nå ligger enda tydligere av regler, er at brukerne er nødt til å gi sin godkjennelse for at innsamling av data er lov. Det betyr for eksempel av innsamling av eposter til epostlister, bør gjøres annerledes.
Eksempel på innsamling av data
Hvis en bruker melder seg på et nyhetsbrev på en side som omhandler klær, så kan ikke samme epost benyttes til å sende brukeren informasjon om elektroniske produkter, ettersom brukeren ikke har gitt sin godkjenning til dette. Samtlige nyhetspåmeldinger må også benytte dobbel autorisering der bruker verifiserer påmelding ved å klikke på bekreftelseslenke i en epost i etterkant av påmeldingen.
Vi vil også bemerke at innsamlingen av data, særlig når det gjelder epostlister, så må disse nå være mye mer i tråd med hva brukerne faktisk ønsker. Det kan godt hende det vil innebære noe arbeid i forkant her, for å overholde reglene for datalagring, men til syvende og sist vil du få en interessegruppe som har sterkere tilknytning til emnet eller området de har meldt interesse for.