Mange misforstår hvor problemet opstår og at det er platformen Google Analytics, der er ulovlig generelt. Men problemet ligger reelt i, hvilken data der bliver sendt, hvordan dataen bliver behandlet og hvem der har adgang til den data som ligger i Google Analytics.
Data som sendes fra din hjemmesiden til Google Analytics, ligger pludselig uden for EU’s grænser, da Google Analytics lagrer den data i USA. I USA gælder en anden politik ift. hvem der må få adgang til den data og hvilken persondata man må sende videre til et 3. parts værktøj som Google Analytics.
Så for at Google Analytics skal være lovlig at benytte i EU, så skal du sikre, at du ikke sender data som er imod EU’s politik. Får du styr på den del, så kan Google Analytics igen blive benyttet som et lovligt 3. parts værktøj i EU!
Selvom datatilsynet først, officielt har meldt ud d. 21. september, at Google Analytics er ulovlig at bruge uden ændringer i standard udgaven, så har det faktisk været ulovligt at benytte Google Analytics, siden 2020. Det er bare først nu, at Danmark og datatilsynet er kommet med en officiel melding om, hvad der skal gøres, for at det er lovligt at benytte Google Analytics igen.
Så hvad kan du gøre?
Der er flere løsninger på hvordan du kan gøre det lovligt at bruge Google Analytics igen og én løsning er også at vente med at gøre noget og se hvad der sker.
Vi har listet 3 forslag nedenfor:
- Løsning 1: Tilpas Google Analytics så det bliver lovligt
- Løsning 2: Undlad at bruge Google Analytics og brug et andet EU baseret analyseværktøj
- Løsning 3: Afvent og se hvad der sker
Løsning 1: Tilpas Google Analytics så det bliver lovligt
Opsæt Server-side tracking – reverse proxy og pseudonymisering af IP
Du kan beholde Google Analytics som sporingsværktøj og holde dig indenfor lovens rammer, hvis du laver de nødvendige justeringer. Det kan du gøre ved at opsætte server-side tracking, med pseudonymisering.
Datatilsynet henviser selv til, at hvis man bruger en proxy server og anonymisere dataene inden de sendes til analyseværktøjet, så kan det stadig være lovligt at bruge Google Analytics, altså en pseudonymisering. Det betyder grundlæggende at man opsætter Server-side tracking på en europæisk lokalisere server, via eksempelvis Stape.io, og derfra sørger for at personfølsomme data ikke sendes videre uden for EU.
Opsætning af Server-side tracking – Reverse proxy
Første step er at få opsat Server-side tracking og til det benytter vi stape.io. Stape er et tredjeparts værktøj som i forbindelse med den officielle udmelding omkring Google Analytics og datahåndteringen, har oprettet et europæisk selskab i Estland, således at de både har server og håndterer alt dataen inden for EU’s grænser. Dette gør at man kan få opsat server-side tracking med pseudo anonymisering og reverse proxy. Det sikrer at den data der bliver hentet fra hjemmesiden anonymiseres, inden den videregives til Google Analytics.
Selve Server-side tracking delen er der som sådan ikke noget nyt i, men det er selve udvidelsen af tracking-delen der gør det muligt for os at styre hvilke data der skal fjernes, inden det videresendes. Du kan læse meget mere om Server-side tracking i vores andet blogindlæg om emnet.
Kontakt os for et tilbud
Løsning 1 (ovenstående) koster mellem 4.000,- og 8.000,- at sætte op.
Kontakt os for at få din side vurderet og få et uforpligtende tilbud.
Fordele ved Server-side tracking
Vi anbefaler dog, uanset hvilken løsning du ønsker at gå med, at du opsætter Server-side tracking på din hjemmeside, da der flere fordele i det.
- Mere data at måle på. Grunden til det er, at vi benytter os af serverens egen cookie til at spore på trafikken, og da den ikke kan identificeres af diverse Ad blockers og IOS14, vil det derfor give os mere data at måle på.
- Hurtigere loadtime på hjemmesiden ved mindskning af antal indlæste scripts. Dette siger lidt sig selv. I og med at man opsætter det hele server-side mindsker man antallet af scripts der skal indlæses, og dermed også gøre hjemmesiden loadtime hurtigere, da hjemmesiden nu har færre scripts at skulle loade hver gang.
Pseudonymisering af IP-adresse og brugerdata
Så snart du har opsat serveren hos Stape.io, får du muligheden for at angive hvilke parametre der skal anonymiseres, hvilket i skrivende stund kun er muligt for servers oprettet for Stape i EU. Med pseudonymisering er det vigtigt man går ind og kigger på følgende brugerdata, der er værd at fjerne:
- Brugerens IP-adresse.
- User ID (Kan også være bruger ID, sessions ID mm.).
- URL parameter.
- Browser og browser ID.
- Enhed (device).
- Henvisningsside (Referral site).
Du kan læse mere om Stape’s server i EU her: https://stape.io/eu-hosting
Nedenstående billede viser de muligheder der er for at modicere de indsamlede informationer, før de sendes videre til Google Analytics. På den måde kan man med anbefalinger fra datatilsynet justere på deres krav om, hvilke informationer der skal fjernes inden det bliver videresendt.
Det er stadig usikkert, præcis hvor mange af ovenstående oplysninger, som skal fjernes inden data bliver sendt til Google Analytics, men datatilsynet henviser til det franske datatilsyns’ vejledning og her beskriver de følgende:
“The necessary measures to be put in place for the proxy to be valid”
“The server carrying out the proxyfication must therefore implement a set of measures to limit the data transferred. The CNIL considers, in principle, that is necessary:
- The absence of transfer of the IP address to the servers of the analytics tool. If a location is transmitted to the servers of the measurement tool, it must be carried out by the proxy server and the level of precision must ensure that this information does not allow the person to be re-identified (for example, by using a geographical mesh ensuring a minimum number of Internet users per cell);
- The replacement of the user identifier by the proxy server. To ensure effective pseudonymisation, the algorithm performing the replacement should ensure a sufficient level of collision (i.e. a sufficient probability that two different identifiers will give an identical result after a hash) and include a time-varying component (adding a value to the hashed data that evolves over time so that the hash result is not always the same for the same identifier) ;
- The removal of external referrer information from the site;
- The removal of any parameters contained in the collected URLs (e.g. UTMs, but also URL parameters allowing internal routing of the site);
- Reprocessing of information that can be used to generate a fingerprint, such as user-agents, to remove the rarest configurations that can lead to re-identification;
- The absence of collection of cross-site or lasting identifiers (CRM ID, unique ID);
- The deletion of any other data that could lead to re-identification.”
Løsning 2: Find et andet 3. parts analyseværktøj
En anden løsning kan være at finde et andet sporingsværktøj end Google Analytics, hvor man kan være sikker på at dataen bliver behandlet og videresendt inden for EU’s grænser. At finde et andet analyseværktøj, kan være tidskrævende og sommetider omkostningsfuldt, men der kan være både fordele og ulemper ved at benytte sig af en anden platform end Google Analytics.
Disse fordele kan eksempelvis være at andre værktøjer kan noget andet end Google Analytics kan og måske mere til, men det går også den anden vej rundt. En ulempe kunne eksempelvis være at vælger man en anden platform end Google Analytics, er det ikke sikkert det kan snakke lige så godt sammen med dit Google Ads setup, hvis du i dag kører annoncering via Google.
Her er nogle af de 3. parts europæisk baseret analyseværktøjer som vi anbefaler:
- Piwik Pro – https://piwik.pro/
- Matomo – https://matomo.org/
Løsning 3: Afvent og se hvad der sker
USA er allerede igang med at lave en ændring i deres lovgivning, så det for EU ikke bliver et problem med hele denne datalovgivning. Så den tredje mulighed er, at vente og se hvad denne lovgivning kommer til at betyde. Så det kan sagtens være, at det hele løser sig af sig selv, uden at du behøver at gøre noget. Hvis det er det, du satser på, anbefaler vi dog at du følger godt med i, hvad der sker på området, så du kan få rettet ind, hvis det viser sig at der ikke kommer en løsning.
Du kan læse mere om den igangsatte lovgivning mellem USA og EU, kaldet Privacy Shield her: https://www.privacyshield.gov/welcome
Ingen grund til panik
Det er ikke fordi datatilsynet, kommer ud og giver bøder til folk, der ikke har styr på det inden for den nærmeste fremtid, men det er helt klart noget man skal tage stilling til, hvis man har en hjemmeside og benytter sig af Google Analytics. Det er stadig uklart omkring hvad der skal anonymiseres helt præcis i forbindelse med den data der skal behandles og videresendes, og der er derfor ingen grund til panik omkring det, for nu.
Sørg for at have det med i dine overvejelser inden for nærmeste fremtid.
Vi hjælper gerne med sparring og råd, helt uforpligtende omkring den bedste løsning for din virksomhed.
Skriv et svar