Sagaen om Google Analytics fortsætter og fortsætter – hvad er op og ned?
Du har sikkert været omkring det – Google Analytics. Er det lovligt? Hvordan garderer jeg mig? Herunder giver Kreativitet & Kommunikation dig en gennemgang af historien uden ende, ligesom vi vil forsøge at kigge fremad
21. september udsendte Datatilsynet en pressemeddelelse om, at Google Analytics, som udgangspunkt, ikke kan benyttes lovligt, fordi værktøjet overfører persondata fra EU til USA.
Faktisk er Google Analytics blot ét eksempel på en større problematik, når snakken falder på GDPR: Overførsel af data til usikre tredjelande – og særligt overførsel til USA.
For GDPR kræver en del, hvis man skal bruge værktøjer, cloudløsninger o.lign., som indebærer overførsel af data til eksempelvis USA. Og her skal man være opmærksom på, hvor hurtigt noget vil være en overførsel.
Sagaen om Google Analytics har efterhånden rullet på EU-plan i månedsvis, og den tog sit udspring i en række afgørelser rundt omkring i medlemslandenes datatilsyn. Sagerne var foranlediget af klager, der var blevet indgivet af organisationen None of Your Business – grundlagt af Max Schrems, som mange vil have hørt om, hvis de har stukket tåen i GDPR-vandet de seneste år.
De respektive afgørelser afspejler en fælleseuropæisk holdning, idet emnet er blevet diskuteret på tværs af landenes tilsyn i Det Europæiske Databeskyttelsesråd. Det betyder bl.a. også, at det danske Datatilsyn, i en konkret sag med lignende forhold, vil nå frem til samme resultat som deres europæiske kollegaer. Det er på denne baggrund, at det danske datatilsyn har udgivet en mindre vejledning, og chefkonsulent Maker Juhl Holst udtalte 21. september: ”Reglerne i GDPR er lavet for at beskytte europæiske borgeres privatliv. Det betyder blandt andet, at man skal kunne besøge en hjemmeside, uden at ens oplysninger kan ende i de forkerte hænder. Vi har gennemgået mulighederne i Google Analytics nøje og er kommet frem til, at man ikke kan bruge værktøjet i sin nuværende form uden at træffe yderligere foranstaltninger”.
Men sådanne ”yderligere foranstaltninger” er ikke nødvendigvis en let øvelse. Du spørger nok dig selv: Hvordan bliver jeg compliant? Det spørgsmål arbejder mange mennesker på at besvare. Den franske datatilsynsmyndighed Commission Nationale de l’Informatique et des Libertés er kommet med forslag om en pseudonymisering ved hjælp af en såkaldt reverse proxy – det er nemlig ikke tilstrækkeligt bare at ændre i Googles indstillinger.
Denne proxy skal sørge for, at der ikke længere er en direkte mulighed for Google at føre oplysninger tilbage til hjemmesidebrugeren. Det er dog stadig en usikker metode, der kræver dokumentation og sikkerhed for, at det ikke er muligt, f.eks. at krydstjekke information, og på den måde identificere en borger.
Et lille lys forude? Afløseren for Privacy Shield rykker nærmere
Overførsel af persondata til USA har tidligere kunnet gøres med et såkaldt privacy shield i baghånden. Dette skjold var en juridisk ramme, der stillede krav til amerikanske virksomheder om databeskyttelse. Men Max Schrems har her, igen, haft stor betydning, idet hans klager har været grundlag for flere afgørelser ved EU-domstolen – senest en der kendte privacy shield-ordningen ugyldig.
Med ét stod mange altså uden et reelt juridisk grundlag for brug af værktøjer, der overfører data til USA. Derfor arbejder man i EU-regi på at finde en ny måde at stille krav til amerikanske virksomheder.
Dansk Erhverv vurderer, at en erstatning for et privacy shield kan være forhandlet på plads i marts 2023 – og det vil være ”en redningskrans for danske virksomheder”.
Det amerikanske justitsministerium har udgivet et dekret om netop de ”transatlantiske dataoverførsler”, og dette vil igangsætte en såkaldt ratificeringsproces i Europa-Kommisionen. Hos Dansk Erhverv glæder man sig over, at tingene rykker på sig, og fagchef for digital handel Carsten Rose Lundberg udtalte 11. oktober:
”Det er virkelig gode nyheder, fordi det kan være en redningskrans for de mange virksomheder, der i sidste uge blev overvældet af Datatilsynets udmelding om Google Analytics”.
Chef for forretningsudvikling i bureauet Impact Extend, Jesper Neergaard Paustian er lidt mere forsigtig i sin optimisme, og siger til Detail Watch:
”Dekretet forbedrer grundlaget for samarbejdet omkring dataudveksling. Men det ændrer ikke ved kerneudfordringen i, at de amerikanske tech-moderselskaber er underlagt en lov, hvor de kan blive pålagt at udlevere de her data til f.eks. NSA”.
Grundlæggende bekymrer Neergaard Paustian sig om tidsperspektivet, og tror, at processen, inden det bliver en no brainer at bruge Google Analytics, bliver noget længere end det halve års tid, som Dansk Erhverv satser på:
”Udspillet skal igennem rigtig mange instanser. Derudover har None of Your Business og Max Screms (organisationens grundlægger) allerede varslet, at de kommer til at udfordre det, og jeg tror, at de har en god sag,” siger Neergaard Paustian.
Google Analytics-sagen er ikke slut endnu, og reelt er den blot et symptom på et større problem – tredjelandsoverførsler af persondata. Her hos KreaKom følger vi den løbende . Følg med her og i vores nyhedsbrev for at blive opdateret.
Flere mediebureaukunder overvejer at tage chancen og køre videre med det nu ulovlige Google Analytics – bl.a. på baggrund af, at tilsynet har meldt ud, at de ikke vil føre tilsyn resten af året. Hos KreaKom gør vi opmærksom på, at Datatilsynet kraftigt har advaret mod at spekulere i ikke at blive opdaget – det kan skærpe straffen for ikke at overholde GDPR, og ifølge tilsynet er reglerne utvetydige.
Datatilsynet har udgivet denne Q&A, hvis du vil dykke dybere ned i Google Analytics-compliance. Du kan desuden blive klogere på GDPR i Privacy League Denmarks podcast om emnet.