Søkelyset er på Google Analytics – hva betyr dette for norske selskaper?
Etter en dom i Østerrike har Google Analytics kommet i søkelyset. Datatilsynet har allerede vært ute og anbefalt norske virksomheter å se etter alternativer. Men hva bør du egentlig foreta deg? Slik vi ser på det er saken langt fra ferdig, men det er noen ting du kan gjøre allerede i dag.
Dette har skjedd
Den europeiske generelle databeskyttelsesforordningen (GDPR) beskytter brukere i EU mot ulovlig datainnsamling. Loven redegjør for flere brukstilfeller der samtykke før datainnsamling ikke er nødvendig. Men det er likevel langt flere tilfeller der dette faktisk er nødvendig – spesielt når innsamling av personopplysninger er involvert. Med GDPR ble det tydelig at informasjonskapsler, IP-adresser etc., skal defineres som personlig informasjon.
Sommeren 2020 ble gjeldende avtale mellom USA og EU, kjent som Privacy Shield, dømt ugyldig i henhold til GDPR-regelverket. Dette påvirket overføring av data fra EU til USA. Siden kjennelsen ikke var endelig med hensyn til kontraktsklausuler, så vi at mange selskaper endret kontraktene sine som følge av dette. Endringene gikk bl.a. ut på å dekke mer rundt databeskyttelse, i forsøk på å avverge ytterligere utfordringer rundt datainnsamling.
Etter denne kjennelsen utstedte NOYB (none of your business) 101 overføringsklager fra EU/USA til ulike databeskyttelsesmyndigheter rundt om i Europa. Det var spesielt nettsider som hadde installert Google Analytics og Facebook pixel, som ble klaget inn.
Nylig kom det som kjent en avgjørelse fra det Østerrikske datatilsynet på en av disse klagene (Merknad: gdprhub.eu som lenken pekertil, eies av NOYB), hvor konklusjonen var at nettstedets bruk av Google Analytics ikke er lovlig.
Google Analytics i seg selv ble ikke erklært ulovlig i denne saken. Det var implementeringen av Google Analytics, både oppsett og teknisk implementering, som var ulovlig.
Likevel – Schrems klaget spesifikt inn nettsteder som benytter Google Analytics.
Selv om det er to spesifikke selskaper/løsninger som ble klaget inn (Facebook og Google Analytics), så handler ikke dette egentlig om dem, men mer om at persondata fra EU-borgere lagret i USA, ikke anses for å være godt nok beskyttet.
Hvis persondata skal overføres ut av EU, må mottakerlandet følge de samme reglene for beskyttelse av personopplysninger. Dette er ikke tilfelle i USA. Amerikansk overvåkingslovgivning gir myndighetene fullmakter til å hente inn og kreve data fra amerikanske selskaper. Google Analytics og Facebook er utbredt i bruk og lagrer data i USA. Da gir det også mening å klage inn disse.
Dette skjer nå
Overføring av data til USA skjer på flere måter. I vid forstand betyr det at enhver klientbasert tredjepartsressurs som lastes av et EU-nettsted fra en amerikansk server, vil være ulovlig. Dette fordi nettstedet blant annet vil eksponere brukerens IP-adresse mot tredjepartsressursen.
Et tysk universitet ble dømt til å fjerne samtykkeløsningen til Cookiebot på en av disse klagene (Merknad: gdprhub.eu som lenken peker mot, eies av NOYB), en tjeneste levert av det danske selskapet Cybot. Selv om tjenesten ble levert av et dansk selskap, ble det krevd at de fjernet løsningen. Problemet i denne saken var at Cookiebot hadde domene hos Akamai, et amerikansk selskap.
Dommen lyder omtrent slik: «Nettstedet hadde ikke samtykke til å overføre IP-adressen for å laste samtykkeløsningen for å spørre om samtykke, og siden samtykke ikke foreligger, kan ikke nettstedet laste samtykkeløsningen for å spørre om samtykke.»
Det er også verdt å merke seg en annen ting i denne saken, og det er at retten kom frem til at det ikke hadde noen betydning om dataene ble lagret på en server i Tyskland hos et underselskap til Akamai, siden morselskapet er i USA.
Saken er innklaget, så foreløpig foreligger det ikke noen endelig dom – men om denne saken står seg, kan det ha vidtrekkende konsekvenser. Potensielt kan det gjøre det ulovlig å benytte amerikanske løsninger, selv om data kun lagres i EU.
Dagens problematikk omhandler Google Analytics, men det er ikke usannsynlig at også andre amerikanske tjenester og plattformer kan bli påvirket av dette.
Den endelige løsningen på problemet kan kun avgjøres av EU og USA i samarbeid.
Hva bør du gjøre?
Dersom du benytter Google Analytics er det viktig å undersøke at det ikke er noe feil med oppsett og implementering av Google Analytics. Vi anbefaler å følge Google Analytics sine punkter for «Personvern og sikkerhet for data».
Du kan i tillegg vurdere å ta i bruk Server-side Tag Manager. Denne løsningen gir deg 100% kontroll over data du sender til Google Analytics eller andre verktøy.
Uavhengig av om dere benytter Google Analytics, så må dere være sikre på at det er gjennomført en DPIA (Data Protection Impact Assessment), og at det er gjennomført tiltak som følge av risikobaserte vurderinger for all datainnsamling.
Denne saken er langt fra ferdig, og vi anbefaler derfor ikke å ta noen forhastende valg inntil mer fakta foreligger.
Trenger du råd om hva du bør foreta deg, ikke nøl med å ta kontakt, vi har eksperter som mer enn gjerne vil hjelpe.