Hvorfor er Google Analytics ulovlig?
En av hovedutfordringene knyttet til bruk av Google Analytics er lagring av data og overføring av data til land utenfor EU/EØS, herunder USA. Tidligere lå utfordringen hovedsakelig i at Google Analytics fikk tilgang til brukeres IP-adresser som defineres som personlig identifiserbar informasjon og dermed ble omfattet av GDPR-forordningen. En løsning, dog midlertidig, var å anonymisere IP-adressene slik at Google Analytics ikke ble berammet av GDPR. Dette er altså ikke godt nok iht. nyere tolkning og Schems II-dommen fra 2020.
Den omtalte Schrems-II dommen fastslår at personopplysninger kun kan overføres til tredjeland dersom det finnes tilstrekkelig databeskyttelse i dette landet. Dette gjelder også når personopplysninger sendes fra EU/EØS til USA, som er et tredjeland i denne sammenhengen.
Google Analytics bruker tredjeparts informasjonskapsler som samler inn personopplysninger og uavhengig av om disse lagres i Europa åpner CLOUD Act for at disse kan overføres til amerikanske myndigheter. Når vi tar i betraktning GDPR-forordningen og den påfølgende Schrems-II dommen med bakgrunn i CLOUD Act, er Google Analytics i strid med gjeldende bestemmelser.
Du kan lese mer om Google Analytics saken her.
Hva gjør du nå?
For å møte datatilsynets vedtak har vi to anbefalinger. Enten bør norske nettsteder benytte seg av alternative analyseverktøy som ikke overfører personopplysninger til USA, eksempelvis Matomo, eller sørge for at Google Analytics implementeres på en måte som tilbyr tilstrekkelig databeskyttelse for overføringer. Sammen med Collaboration Art, har vi utviklet et filter som gir tilstrekkelig anonymisering av data og lagrer dataene på server i EU/EØS, noe som gjør at Google Analytics 4 kan benyttes og fremdeles være i tråd med GDPR.
Ta kontakt med oss dersom du ønsker en prat om løsningene for din bedrift fremover!