Er Google Analytics ulovlig?

Google Analytics er verdens mest benyttede webanalyseverktøy, med en markedsandel på tett opp til 90 prosent. Ut i fra analyser anslås det at nesten 60 prosent av alle verdens største nettsider benytter dette verktøyet, som bidrar til at virksomheter lærer å kjenne sine nettbesøk og potensielle kunder bedre. Derfor benytter de fleste kundene til Godt Sagt også Google Analytics. Med andre ord, Google Analytics gir verdifull innsikt til å håndtere sin kundegruppe bedre – som igjen gir gode og viktige beslutningsgrunnlag for å skape en mer lønnsom nettside.

Google Analytics og GDPR

Nylig konkludere datatilsynet i Østerrike (DSB) at bruken av Google Analytics er ulovlig. Dette resultatet kom brått på de fleste og har skapt mange overskrifter og stor furore, nettopp fordi bakgrunnen for konklusjonen fra DSB er bygget på et lovverk som er sammenfallende i hele EU/EØS-området. Vi kjenner best til dette lovverket for personopplysninger som GDPR. Mange virksomheter er nå i villrede og lurer på hva de skal gjøre. Vår anbefaling er å puste med magen, inntil man vet mer.

Datatilsynet i Norge la for øvrig sten til byrden når de fulgte opp med å si “det er vanskelig å se hvordan bruk av Google Analytics kan være lovlig” til digi.no rett i etterkant av konklusjonen til deres kollegaer i Østerrike. Senere har Datatilsynet fulgt opp med en egen publisering rundt saken, hvor de selv sier de ikke har konkludert – og at det ikke ligger noen automatikk at de konkluderer likt som DSB.

Hvorfor settes verktøyet under lupen nå?

I Schrems II-dommen fra 2020 ble det slått fast at det ikke finnes overføringsgrunnlag av persondata fra EU/EØS til andre land utenfor EU/EØS. Dette var et resultat av at den østerrikske personvernaktivisten og advokaten Max Schrems fikk medhold i at personopplysninger til borgere i EU/EØS-området ikke var godt tilstrekkelig beskyttet i henhold til gjeldende sertifiseringsavtale mellom virksomheter EU/EØS og USA, kalt Privacy Shield. Dette har resultert i uklare retningslinjer på diverse plattformer og løsninger som baserer seg på overføring av persondata ut av EU/EØS – deriblant Google Analytics. Konklusjonen fra datatilsynet i Østerrike nå i januar 2022 er det første i sitt slag etter at Schrems II-dommen falt, som helt konkret sier at bruk av Google Analytics er ulovlig.

Hvilke persondata behandles egentlig i Google Analytics?

Google Analytics sin kjernefunksjonalitet er bygget opp mot bruk av diverse nettleserparametre, avidentifisert data i cookies, besøksadferd og anonymiserte IP-adresser. Selv om dette ikke nødvendigvis oppfattes som persondata, da det ikke er mulig å knytte disse dataene til bestemte personer uten tilleggsinformasjon, er det i GDPR spesifisert at såkalte “online identifiers” skal behandles som persondata. Datatilsynet i Norge spesifiserer også at slike avidentifisert data og adferdsmønstre anses som persondata, og er derfor data som skal behandles i henhold til GDPR.

Alternative verktøy til Google Analytics – og gode råd videre

Som byrå jobber Godt Sagt hver dag med å gi de beste råd ut til våre kunder. Dette innebærer et bredt spekter av ulike typer rådgivning; rene forretnings- og bærekraftsstrategier, ulike typer bistand til å bygge kjennskap, omdømme og merkevare – eller være en god samarbeidspartner i en hverdag preget av stadige forandringer og nye krav til løsninger, som f.eks. GDPR, universell utforming og lignende.

For oss som jobber mye med digital markedsføring har det de siste årene stadig vært flere juridiske utfordringer å ta stilling til – og det varsles flere i årene fremover. Dette innebærer at vi jobber tett på utfordringene slik at våre kunder er sikret gode og riktige råd, til enhver tid.

Godt Sagt følger selvfølgelig utviklingen rundt bruk av Google Analytics svært nøye, samtidig som vi jobber med å se på alternative løsninger. Det finnes flere alternative webanalyseverktøy på markedet, deriblant Matomo (tidligere Piwik) og Plausible. Likevel er ikke disse å anse som fullgode alternativer til det økosystemet Google Analytics er en del av. Derfor er det lov å håpe at Google tilpasser seg loven ved f.eks. å opprette eget datasenter for europeiske brukere, slik som andre har gjort.

OPPDATERT: I slutten av mars 2022 ble USA og EU enige om et rammeverk for overføring av personopplysninger. Les vår nye artikkel på dette rammeverket – kalt Trans-Atlantic Data Privacy Framework.

Ta gjerne kontakt med oss dersom du trenger råd om hvordan du og din bedrift bør gå frem.

Opps, fant ikke skjemaet.