Allt du behöver veta om personuppgifter och Google analytics

I juli 2020 meddelade EU-domstolen en dom i det så kallade Schrems II-målet vilket gör att flera marknadsförare som använder Google analytics behöver tänka till kring sitt användande av analysverktyget. Vår analysexpert och senior partner Erik Nettlebrandt guidar dig genom det snåriga träsket och redogör för vad som gäller.

I korta drag innebär domen att det så kallade Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA.

Ursprunget till domen handlar egentligen inte om Google Analytics, som i princip inte innehåller några personuppgifter, eftersom det är och länge har varit förbjudet att skicka in något till Google Analytics som är personidentifierande. Ursprunget till domen rör egentligen Facebook som innehåller oceaner av personuppgifter (namn, bilder, känslor, familj, vänner etc.).

Problemet för alla användare av Google Analytics är dock att domen i EU-domstolen inte skiljer ut “ofarliga” eller i praktiken “icke-personuppgifter” mot de “riktiga” personuppgifter som hanteras i Facebooks system.

Vad är personuppgifter i Google Analytics?

I Google Analytics pekas IP-nummer ut som en personuppgift. Man kan diskutera och starkt ifrågasätta om ett IP-nummer är en personuppgift, men det får vi ta i en separat artikel... Nu är IP-nummer utpekat som en personuppgift och därför får vi hantera det som en sådan.

Hur hanteras IP-nummer i Google?

Google har länge haft en funktion som avidentifierar/maskar IP-numret så det inte längre kan kallas för en personuppgift. Rent tekniskt har man skickat IP-numret i sin helhet, men det har inte lagrats i sin helhet på Googles servrar. Sedan finns funktioner i Google Analytics som raderar ip-nummer enligt GDPRs regler. Denna lösning har fungerat fram till Schrems II-domen. I Schrems II så är det själva överföringen som inte är OK. Att Google inte lagrar IP-numret i sin helhet är alltså inte längre en tillräcklig lösning.

Vi som använder Google Analytics, vilka alternativ finns för oss?

De alternativ som finns kring Google Analytics är för tillfället:

1.Fortsätta att avvakta och invänta nya regler för överföring av data mellan EU och USA motsvarande privacy shield. Gör alltså ingen ändringar alls. 

2.Stäng av all mätning som skickar data till USA.

3. Vänta på att Google flyttar insamlingsservrar till EU och använder ett av sina europeiska bolag för hantering av datan.

4.Stäng av mätning som skickar personuppgifter (IP-nummer) till USA.

5.Byt analyssystem.

Konsekvenser av ovanstående alternativ är:

1.All mätning blir kvar och alla analysmöjligheter stannar intakta och ingen extra kostnad tillkommer. Dock med risk för att åka dit i en revision, med böter som följd.

2.Ingen mätning kvar. Inga analysmöjligheter.

3.Troligen blir all mätning och alla analysmöjligheter intakta. Men inga sådana beslut är tagna ännu och det kan dröja. 

4.All mätning intakt och alla analysmöjligheter intakta. Det denna lösning handlar om är att sluta skicka ip-numret till Google Analytics. Man skickar då inte längre någon personuppgift och bryter därför inte mot någon lag. Det går tekniskt till så att man styr om trafiken till en så kallad proxy, dvs en server som man skickar datan till istället för direkt till Googles insamlingsservrar. Proxy-servern skickar sedan datan vidare till Google (med ip-numret maskat). Detta innebär att man inte skickar hela ip-numret och då kan det inte längre påstås vara en personuppgift. Man kan jämföra proxy-servern med en tvättmaskin som tvättar bort personuppgifter. Här blir det en initial kostnad (en del konfiguration och testande), därefter en månadskostnad för den extra servern (tvättmaskinen). All analys fortsätter man med som vanligt i Google Analytics.

5. Det finns flera alternativ för system som inte skickar data till USA. Byte av system innebär installationskostnader, konfigurationskostnader, taggningskostnader, utbildningskostnader etc. Därtill tillkommer också licensavgifter att budgetera för. Det finns även open source-system, men även här tillkommer kostnader för drift.

Avantime, din webbanalyspartner

Avantime har levererat webbanalystjänster i mer än 15 års tid. Vi är en långsiktig partner som hjälpt flera uppdragsgivare genom flera generationer av webbanalyssystem. Oavsett om du behöver hjälp med val av system eller hantering av GDPR/Schrems-frågor så finns vi här för dig. 

Kontakta oss gärna för mer hjälp och rådgivning på erik.nettelbrandt@avantime.se eller på 073-40 31 121