Datatilsynet (EDPS) gjennomfører for tiden to undersøkelser om bruken av Google Analytics. Selv om disse undersøkelsene ennå ikke er endelig konkludert, sier regulatoren å bruke Googles analysepakke kan være ulovlig. Det norske personvernet råder imidlertid bedrifter og organisasjoner til å søke et alternativ nå.
Dette er hva EDPS skriver en pressemelding.
EU-domstolen kansellerer Privacy Shield
Den norske tilsynsmyndigheten viser til en tidligere kjennelse fra Datenschutzbehörde (DSB). Den østerrikske personvernregulatoren har tidligere behandlet klager på Google Analytics. Forskerne konkluderte med at Googles statistikkprogram bryter med General Data Protection Regulation (GDPR). Analyseprogramvaren samler kontinuerlig inn IP-adresser og informasjonskapseldata fra brukere og lagrer disse dataene i USA.
Ettersom EU-domstolen omgjorde Privacy Shield (den beryktede Schrems II-dommen) sommeren 2020, kan slike data ikke lenger lagres utenfor EU. Dette er kun tillatt dersom selskaper og organisasjoner i det andre landet tar lagrings- og sikkerhetstiltak tilsvarende de i EU. Amerikanske selskaper kan ifølge retten ikke garantere dette.
EDPS: «Google Analytics kan være ulovlig»
Den norske tilsynsmyndigheten trekker en konklusjon som ligner på DSB. Som personverntilsyn i Østerrike undersøker EDPS for tiden to saker knyttet til bruken av Google Analytics. Selv om etterforskningen ennå ikke er fullført, er regulatoren allerede i ferd med å komme til en foreløpig konklusjon. Og det ser ikke rosenrødt ut for Google.
EDPS reiser to hovedinnvendinger. Først og fremst samler Google Analytics inn IP-adresser, som kan spores tilbake til individuelle brukere. Det er mulig å maskere IP-adresser, men det løser ikke problemet, ifølge regulatoren. Google Analytics samler også inn informasjonskapseldata. Dette lar deg koble brukerdata til brukere hvis de er logget på Google-kontoen sin. Dette bryter med europeisk personvernlovgivning og er derfor ulovlig.
Regulatoren forventer flere klager på Google Analytics
EDPS forventer mer sammenlignbare uttalelser fra andre nasjonale tilsynsmyndigheter i nær fremtid. Den nederlandske datatilsynet (AP) er en av dem. Han advarte nylig om at bruk av Google Analytics ikke lenger vil være tillatt «sannsynligvis snart». AP ser for tiden på to klager på Googles statistikkpakke. Tidlig i 2022 forventer tilsynsmyndigheten å kunne ta en endelig beslutning om bruk av Google Analytics.
Datatilsynet understreker at det ikke er forbudt å lagre data innhentet gjennom Google Analytics i USA. Nettsideeiere må derfor ta en rekke grep for å sikre at dette gjøres på lovlig vis. Og dette skjer ikke i stor skala nå. Regulatoren råder derfor norske bedrifter og organisasjoner til å se etter et alternativ til Google Analytics.
EDPS forventer å motta enda flere klager på Google Analytics på kort sikt.
Google forsvarer seg mot anklagene
Google er ikke klar over noen forseelser og forsvarer seg mot anklagene. Gjennom en blogg søkemotorgiganten har annonsert at det er mulig å anonymisere IP-adresser. For å gjøre dette må bedrifter og organisasjoner legge til en global nettstedstagg i delen
av nettsiden deres.Google påpekte også at det ikke er mulig å overvåke brukere på Internett eller i applikasjoner med Google Analytics, og heller ikke opprette brukerprofiler. «Google Analytics hjelper eiere av nettsteder og apper å forstå hvordan brukerne deres samhandler med nettstedene og appene deres og bare med nettstedene og appene deres,» sa Google. Videre kan ikke dataene som samles inn av Google Analytics brukes til å identifisere besøkende.
I tillegg skrev Google at selskaper og organisasjoner selv er ansvarlige for dataene de samler inn med Google Analytics. Teknologiselskapet tilbyr dem alle slags verktøy for å overholde lokale eller regionale lover og forskrifter, inkludert GDPR. Ved hjelp av nettlesertillegg har internettbrukere selv kontroll over å deaktivere Googles analyseprogramvare.
Endelig kan Google Analytics ikke brukes til å vise målrettede annonser basert på spesielle personopplysninger. Da må du tenke på annonsering om helse, etnisitet, politisk preferanse eller seksuell legning.
Oppdatering (10. februar 2022): Etter den østerrikske og norske personverntilsynet konkluderer nå også den franske regulatoren med at bruk av Google Analytics ikke er tillatt. De Nasjonal kommisjon for informatikk og friheter (CNIL) har problemer med måten nettsidebesøksdata sendes til USA. For dette formål må partene bruke de såkalte standardkontraktsklausulene (SCC) eller modellkontrakter. De sørger for at data i USA er beskyttet på samme måte som her i Europa.
Ikke slik, ifølge den franske regulatoren. «Selv om Google har iverksatt flere tiltak for å regulere overføringen av data til andre land, er de ikke tilstrekkelige til å beskytte tilgangen til amerikanske etterretningsbyråer,» sa CNIL. Nettsteder som bruker Google Analytics til å kartlegge besøkendes atferd bryter artikkel 44 i GDPR. De vil ikke bli bøtelagt av tilsynsmyndigheten. De må imidlertid se etter et alternativ til Googles statistikkprogram innen en måned.
«Henivne sosiale medier-nerd. Matelsker. Ond kommunikator. Ivrig ølspesialist. Hardcore bacon-banebryter. Faller mye ned.»