Den 21. September 2022 kom det danske datatilsyn med en pressemeddelelse der bekræftede den formodning, mange i branchen har haft over den seneste tid – nemlig at Google Analytics ikke er GDPR-compliant. I hvert fald ikke, hvis der er brugt et standard-setup, som langt de fleste virksomheder kører med.
Problematikken består i, at den statistiske data, som Google Analytics indsamler, kan henføres til enkeltpersoner – med andre ord, så er det teknisk set muligt at identificere enkeltpersoners adfærd på de platforme, som bruger Google Analytics. Men det er jo ikke ulovligt at indsamle personhenførbare data, hvis man blot har fået samtykke til det, så hvad er egentlig problemet?
Problemets kerne er, at denne personhenførbare data lander på servere i USA – et land som er underlagt andre og mere lempelige regler for databeskyttelse end dem, vi er underlagt her i EU/EØS. For at beskytte EU-borgeres ret til privatliv skal virksomheder derfor sikre, at data om deres brugere ikke lander i USA eller andre usikre lande uden passende databeskyttelses-foranstaltninger.
I EU har vi GDPR til at beskytte EU-borgeres privatliv. I USA gælder FISA 702/US, som ikke i samme grad sikrer proportionalitet i den måde, som data kan videregives på. Teoretisk set kan amerikanske myndigheder kræve af virksomheder, der indsamler persondata – eksempelvis digital adfærdsdata, at få denne udleveret uden yderligere begrundelse. Dette er det sprængende punkt i hele problematikken. GDPR fordrer nemlig, at EU-borgeres privatliv er ukrænkeligt – også når det gælder myndigheder. Med andre ord kan myndigheder i EU kun kræve data udleveret med en reel begrundelse, for eksempel i efterforskning af kriminalsager. Forskellen gør, at USA privacy-mæssigt er et usikkert land at sende data til.
Hold øje med, hvilke lande EU har vurderet som værende sikre tredjelande her
Ikke begrænset til Google Analytics
Selvom pressemeddelselsen tog sit udgangspunkt i Google Analytics, så er problematikken dog langt fra begrænset hertil. I bund og grund handler sagen ikke alene om Google Analytics, men om den praksis, som mange martech-værktøjer gør brug af i forhold til tracking og overførsel af personhenførbar data til tredjelande uden for EU.
Der findes masser af eksempler på verserende eller afsluttede sager, der tager omdrejningspunkt i ovenstående problematik. Så det er svært at forestille sig, at Google Analytics er den sidste platform, der bliver taget under EU-kommissionens lup. Du gør derfor dig selv en tjeneste ved at komme hele vejen rundt om dit tech stack og identificere, hvor de mulige huller er i forhold til compliance, samt hvordan du kommer videre herfra.
Ingen perfekte løsninger
Datatilsynet henviser til en vejledning begået af CNIL (den franske ekvivalent til det danske datatilsyn).
Her har de forholdt sig til de mulige løsninger, der har været på bordet, og de nemmeste løsninger er desværre ikke nok til at blive 100% compliant – herunder er det ikke tilstrækkeligt blot at ændre IP settings i sit setup, og kryptering af Google Analytics’ personlige identifier er heller ikke nok.
I vejledningen pointeres det, at kun løsninger, der bryder kontakten mellem enheden og serveren kan løse problemet, så længe den amerikanske lov er, som den er. Det vigtige er, at en profilering ikke må kunne genskabes og kunne henføres til et individ – eksempelvis ved hjælp af krydstjekning med anden information.
Dette kan løses ved brug af en proxy-server, som går ind og bryder kontakten mellem enheden og Googles server. Udfordringen med det setup er dog, at det vil efterlade et ret amputeret Google Analytics set med marketingbriller. Eksempelvis vil referraldata ikke være tilgængelig – hvilket gør værktøjet uanvendeligt til kanaloptimering og analyse af kunderejsen.
GA4 og server side tracking er et skridt i den rigtige retning
Historien har indtil nu ikke budt på nogle brugbare løsninger på udfordringen, som den er nu. I 2017 blev frameworket Privacy Shield godkendt som en sikker måde at overføre persondata mellem USA og EU. Privacy Shield var udviklet af U.S Department of Commerce og EU-kommissionen.
En afgørelse, der i 2020 blev omstødt i lyset af Schrems II-sagen, da metoden alligevel ikke var sikker nok. End ikke EU-kommissionen har altså kunnet fremtrylle et blueprint, som man kan implementere og dermed være garanteret, at problemet er løst.
Google har dog arbejdet på en del forbedringer på privacy-området med Google Analytics 4 (GA4), som muligvis kan være en del af løsningen i fremtiden. Følgende tiltag er gjort i GA4:
- Al data fra EU-baserede enheder bliver gemt på servere i EU
- IP-adresser bliver ikke gemt, men de bliver benyttet til blandt andet geolokation
- Google Signals kan vælges fra i settings, så brugerdata ikke linked med brugerprofiler
- Samtykke til at indhente geo- og enhedsdata kan indsamles med consentboks på skærmen
Intet af ovenstående løser dog det faktum, at FISA702/US giver de amerikanske myndigheder ret til at bruge data indsamlet af alle amerikanske virksomheder – uanset om der er tale om EU-borgere eller ej – og uanset om data er lokaliseret på en amerikansk server eller en server i EU.
Den bedste løsning, som vi nok alle håber på, er, at den amerikanske regering og EU-kommissionen bliver enige om en transatlantisk aftale om privatliv mellem EU og USA. En aftale som der arbejdes på, og som forventes på plads ved slutningen af året.
Forberedelse er vejen frem
Datatilsynets egen chefkonsulent udtaler til finans.dk at de ikke har planer om selv at føre aktivt tilsyn på området – i hvert fald ikke i år, hvilket betyder, at der er lidt tid til at lave en god plan.
Vores anbefaling til en handlingsplan ser således ud:
- Identificer hvilke personhenførbare data du indsamler via dine digitale værktøjer, og hvor oplysningerne lander henne
- Sørg for at gemme historisk data i et data warehouse i EU, så du ikke mister den, hvis forbindelsen til de amerikanske servere bliver nedlukket
- Skift over til GA4
- Implementer server side tracking
- Anonymiser tracking af IP-adresser og anden personhenførbar data
Det er vigtigt at nævne, at ovenstående ikke er en komplet løsning, som situationen er nu, men det er et (stort) skridt i den rigtige retning. Derudover anbefaler vi kraftigt, at du i samme ombæring får lagt en datastrategi, som blandt andet adresserer: Hvilke data du indsamler eller kan skabe. Derudover bør den tage højde for centrale emner omkring data governance, -centralisering, -ownership, -privacy, -activation, -kommercialisering og generel forretningsværdi.
Hvad er server side tracking?
Server-side tracking er som navnet antyder, baseret på at en tagging-server afvikler de nødvendige scripts, frem for at installere cookies på brugerens egen enhed (desktop, tablet, mobile). Det øger datasikkerheden, kontrollen og leveringssikkerheden.
Server side tracking begrænser adgangen til en brugers data og beskytter derved mod at data bliver indsamlet af tredjeparter.
Alt data der anses for at være personhenførbar, såsom IP-adressen og info om webbrowseren kan fjernes, før det sendes til tredjepart. GA4 har indbygget IP-anonymisering, men dette udføres efter at alle oplysninger er blevet overført til Googles server og fungerer derfor ikke som standalone uden server side tracking.
Fordele ved server side tracking
Ud over at det er en mere sikker måde at tracke på, kommer server side tracking også med flere andre fordele.
- Det er langt mere pålideligt og stabilt, og leverer mere præcise data til GA4, samt paid social og search. Server-side tracking giver med andre ord et langt større og bedre datagrundlag end traditionel client-side tracking
- Med færre scripts og sporingstags øges indlæsningshastigheden på websitet automatisk, hvilket forbedrer brugeroplevelsen, er godt for SEO – og potentielt øger konverteringsraten
Det traditionelle setup baseret på client-side data, som er det, de fleste virksomheder kører med i dag, har en diskrepans på 25-30% i omsætningstallene målt i Google Universal Analytics ift. det sande billede. En diskrepans, vi ikke ser med server side tracking.
Vi har lavet et framework for at implementere best-prace server-side setups i GA4 for både ecommerce og lead-gen.
Med et server-side setup vil I være langt bedre stillet i fremtiden:
- Google overgår officielt til GA4 d. 1. juli 2023, hvor Universal Analytics udfases
- Privacy-mæssigt er server side tracking bedre end client side-tracking
- Server-side setups er mindre sårbare for nye tracking prevention tiltag fra Apple og andre udbydere.
- Server-side setups giver både et større-, men også mere præcist datagrundlag, som er pålideligt.
Hvad gør jeg nu?
Som nævnt ovenfor, så er der ikke tale om en dommedagprofeti i ovenstående. Den perfekte løsning eksisterer ikke på nuværende tidspunkt, men du kan komme langt med ovenstående imens vi venter på den endelige transatlantiske aftale.
Tag problematikken seriøst, og brug lejligheden til at få kigget hele dit tech-setup igennem ved samme lejlighed og få optimeret det, du kan.
Vi hjælper naturligvis. Så ræk ud til mig eller én af mine skarpe kolleger.
Disclaimer: Det er vigtigt at fastslå, at vi hos KYNETIC ikke yder ikke juridisk rådgivning i nogen form, dermed kan denne artikel ikke erstatte juridisk rådgivning. KYNETIC tager ikke ansvar for direkte eller indirekte tab som konsekvens af instrukserne i denne artikel, inklusiv tab som følge af utilstrækkelig eller forkert brug af information, vurderinger eller andre forhold. KYNETIC anbefaler at søge juridisk rådgivning hos en advokat for at verificere eller modtage konkret rådgivning om GDPR compliance og/eller brug af data.
